CVE-2020-25613: WEBrick potencialmente vulnerable a contrabando de solicitudes HTTP

16/10/2020
Artículo original

Se reportó una potencial vulnerabilidad en WEBrick a contrabando de solicitudes HTTP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2020-25613. Recomendamos enfáticamente actualizar la gema webrick.

Detalles

WEBrick era demasiado tolerante a encabezados Transfer-Encoding inválidos. Esto puede conducir a interpretaciones inconsistentes entre WEBrick y algunos servidores proxy HTTP, que podría permitir a un atacante “contrabandear” una solicitud. Ver en detalle CWE-444.

Por favor actualice la gema webrick a la versión 1.6.1 o posterior. Puede usar gem update webrick para actualizarla. Si está usando bunler, por favor añada o actualice gem "webrick", ">= 1.6.1" a su Gemfile.

Versiones afectadas

  • gema webrick 1.6.0 o anteriores
  • versiones incorporadas de webrick en ruby 2.7.1 o anteriores
  • versiones incorporadas de webrick en ruby 2.6.6 o anteriores
  • versiones incorporadas de webrick en ruby 2.5.8 o anteriores

Créditos

Agradecemos a piao por descubrir este problema.

Historia

  • Publicado originalmente el 2020-09-29 06:30:00 (UTC)

Publicado por mame el 2020-09-29
Traducción de vtamara