CVE-2017-17742: WEBrick 回复分离缺陷

由 usa 发表于 2018-03-28
翻译： Delton Ding

Ruby 捆绑的 WEBrick 在 HTTP 回复分离时存在一个缺陷。此缺陷已被分配 CVE 标识符 CVE-2017-17742。

细节

当脚本接受外部输入后未经修改直接拼接到 HTTP 回复中时，攻击者可以利用换行符使得 HTTP 回复头停止拼接，并在换行符后注入虚假的 HTTP 回复来向客户显示恶意内容。

所有使用受影响版本的用户应立即升级。

受影响版本

• Ruby 2.2 系列：2.2.9 及更早版本
• Ruby 2.3 系列：2.3.6 及更早版本
• Ruby 2.4 系列：2.4.3 及更早版本
• Ruby 2.5 系列：2.5.0 及更早版本
• Ruby 2.6 系列：2.6.0-preview1
• SVN trunk 早于 r62968 的所有版本

鸣谢

感谢 Aaron Patterson tenderlove@ruby-lang.org 报告了此问题。

历史

• 最早于 2018-03-28 14:00:00 (UTC) 发布