Uma potencial vulnerabilidade de smuggling de requisições HTTP no WEBrick foi reportada. Essa vulnerabilidade recebeu o identificador CVE CVE-2020-25613. Nós recomendamos fortemente que atualize a gem webrick.

Detalhes

WEBrick era muito tolerante contra um cabeçalho Transfer-Encoding inválido. Isso pode levar interpretações inconsistentes entre WEBrick e alguns servidores de proxy HTTP, o que pode poermite que uma pessoa atacante “contrabandeie” uma requisição. Veja CWE-444 em detalhes.

Por favor, atualiaze a gem webrick para a versão 1.6.1 ou superior. Você pode usar gem update webrick para atualizá-la. Se você está usando bundle, por favor, adicione gem "webrick", ">= 1.6.1" ao seu Gemfile.

Versões afetadas

• webrick gem 1.6.0 ou inferior
• versões empacotadas de webrick no ruby 2.7.1 ou inferior
• versões empacotadas de webrick no ruby 2.6.6 ou inferior
• versões empacotadas de webrick no ruby 2.5.8 ou inferior

Créditos

Agradecimentos a piao por ter descoberto este problema.

Histórico

• Originalmente publicado em 2020-09-29 06:30:00 (UTC)

Escrito por mame em 29/09/2020
Traduzido por jcserracampos