XSS in WEBrick (CVE-2010-0541)

由 SJH 發表於 2010-08-18

WEBrick 中有個安全性漏洞. 在 CVE-2010-0541 說明了此安全性漏洞.

CVE-2010-0541

Description

WEBrick 有個 XSS (cross-site scripting) 弱點, 可以讓入侵者經由特製的 URI 來 inject (注入) 任意的 script 或 HTML. 這並不會影響到那些嚴格實作 HTTP/1.1 的 user agents, 但有些 user agents 則會受波及.

受到影響的版本有:

Ruby 1.8.6-p399 之前的版本.
Ruby 1.8.7-p299 之前的版本.
Ruby 1.9.1-p429 之前的版本.
Ruby 1.9.2 RC2 之前的版本.
Ruby 1.9 的開發版本 (1.9.3dev).

各版本建議更新到以下的最新 patchlevel .

Solutions

Fixes for 1.8.6, 1.8.7 and 1.9.1 are to follow this announce.
- 1.8.6:
- 1.8.7: 請更新到 1.8.7 patchlevel 302
- 1.9.1: 請更新到 1.9.1 patchlevel 430
各開發版本, 請更新到各個分支的最新版本.
你也可以用 patch $(libdir)/ruby/${ruby_version}/webrick/httpresponse.rb 的方式來修復安全性弱點. Patch 可在此下載: <URL:https://cache.ruby-lang.org/pub/misc/webrick-cve-2010-0541.diff>. 由 Hirokazu NISHIO 所撰寫.

SIZE:

466 bytes

MD5:

395585e1aae7ddef842f0d1d9f5e6e07

SHA256:

6bf7dea0fc78f0425f5cbb90f78c3485793f27bc60c11244b6ba4023445f3567

Credit

此弱點事由 Apple 的 Hideki Yamane 所發現並且向 Ruby security team 通報. ^*1

更新訊息

更新訊息發表時間 2010-08-16 10:26:03 JST.
1.9.1 patchlevel 430 釋出
1.8.7 patchlevel 301 釋出
1.8.7 patchlevel 302 釋出因為 pl301 壞掉. 請用此代替.

^*1 [ruby-dev:42003]

Ruby

程式設計師的摯友