由 mame 发表于 2022-11-22
翻译: GAO Jun
我们发布了 cgi gem 0.3.5, 0.2.2 和 0.1.0.2,对 HTTP 响应拆分漏洞进行了安全修复。 此漏洞已分配 CVE 编号 CVE-2021-33621。
详情
如果应用程序使用 cgi gem 并基于不受信用户的输入生成 HTTP 响应,攻击者可以利用此漏洞来注入恶意的 HTTP 响应头与正文。
此外,由于没有正确校验 CGI::Cookie 对象的内容,如果应用程序基于用户输入创建 CGI::Cookie 对象,攻击者可以利用此漏洞在 Set-Cookie 头中注入无效属性。 我们认为这样的应用程序不太可能会有,但我们包含了一个更新来预防性地检查 CGI::Cookie#initialize 的参数。
请将 cgi gem 更新到 0.3.5, 0.2.2, 与 0.1.0.2 及对应后续版本。您可以通过 gem update cgi 来进行更新。
如果您使用 bundler,请在您的 Gemfile 中增加 gem "cgi", ">= 0.3.5"。
受影响版本
- cgi gem 0.3.3 及更早版本
- cgi gem 0.2.1 及更早版本
- cgi gem 0.1.1,0.1.0.1,0.1.0
致谢
感谢 Hiroshi Tokumaru 发现此问题。
历史
- 最早发布于 2022-11-22 02:00:00 (UTC)