CVE-2021-33621: CGI 中的 HTTP 响应拆分漏洞

由 mame 发表于 2022-11-22
翻译： GAO Jun

我们发布了 cgi gem 0.3.5， 0.2.2 和 0.1.0.2，对 HTTP 响应拆分漏洞进行了安全修复。 此漏洞已分配 CVE 编号 CVE-2021-33621。

详情

如果应用程序使用 cgi gem 并基于不受信用户的输入生成 HTTP 响应，攻击者可以利用此漏洞来注入恶意的 HTTP 响应头与正文。

此外，由于没有正确校验 CGI::Cookie 对象的内容，如果应用程序基于用户输入创建 CGI::Cookie 对象，攻击者可以利用此漏洞在 Set-Cookie 头中注入无效属性。 我们认为这样的应用程序不太可能会有，但我们包含了一个更新来预防性地检查 CGI::Cookie#initialize 的参数。

请将 cgi gem 更新到 0.3.5， 0.2.2， 与 0.1.0.2 及对应后续版本。您可以通过 gem update cgi 来进行更新。 如果您使用 bundler，请在您的 Gemfile 中增加 gem "cgi", ">= 0.3.5"。

受影响版本

• cgi gem 0.3.3 及更早版本
• cgi gem 0.2.1 及更早版本
• cgi gem 0.1.1，0.1.0.1，0.1.0

致谢

感谢 Hiroshi Tokumaru 发现此问题。

历史

• 最早发布于 2022-11-22 02:00:00 (UTC)