CVE-2021-41819: Cookie-Präfix-Spoofing in CGI::Cookie.parse

Gepostet von mame am 24. Nov 2021

Eine Schwachstelle bei der Spoofing von Cookie-Präfixen wurde in CGI::Cookie.parse entdeckt. Diese Schwachstelle wurde unter der CVE-ID CVE-2021-41819 zugewiesen. Wir empfehlen dringend, Ruby zu aktualisieren.

Details

Ältere Versionen von CGI::Cookie.parse wendeten eine URL-Dekodierung auf Cookie-Namen an. Ein Angreifer könnte diese Schwachstelle ausnutzen, um Sicherheitsprafixe in Cookie-Namen zu spoofen, was eine anfällige Anwendung täuschen könnte.

Mit dieser Korrektur dekodiert CGI::Cookie.parse Cookie-Namen nicht mehr. Beachten Sie, dass dies eine Inkompatibilität darstellt, wenn Ihre verwendeten Cookie-Namen nicht-alphanumerische Zeichen enthalten, die URL-kodiert sind.

Dies ist das gleiche Problem wie CVE-2020-8184.

Wenn Sie Ruby 2.7 oder 3.0 verwenden

• Bitte aktualisieren Sie das cgi-Gem auf Version 0.3.1, 0.2.1 und 0.1.1 oder höher. Sie können gem update cgi verwenden, um es zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie gem "cgi", ">= 0.3.1" zu Ihrer Gemfile hinzu.
• Alternativ aktualisieren Sie Ruby auf 2.7.5 oder 3.0.3.

Wenn Sie Ruby 2.6 verwenden

• Bitte aktualisieren Sie Ruby auf 2.6.9. Sie können gem update cgi für Ruby 2.6 oder früher nicht verwenden.

Betroffene Versionen

• Ruby 2.6.8 oder früher (Sie können gem update cgi für diese Version nicht verwenden.)
• cgi gem 0.1.0 oder früher (was gebündelte Versionen mit der Ruby 2.7-Serie vor Ruby 2.7.5 sind)
• cgi gem 0.2.0 oder früher (was gebündelte Versionen mit der Ruby 3.0-Serie vor Ruby 3.0.3 sind)
• cgi gem 0.3.0 oder früher

Credits

Vielen Dank an ooooooo_q für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2021-11-24 12:00:00 (UTC)