CVE-2021-33621: HTTP Response Splitting in CGI

Gepostet von mame am 22 Nov 2022

Wir haben die gem-Versionen cgi 0.3.5, 0.2.2 und 0.1.0.2 veröffentlicht, die eine Sicherheitskorrektur für eine HTTP-Response-Splitting-Schwachstelle enthalten. Dieser Schwachstelle wurde der CVE-Identifier CVE-2021-33621 zugewiesen.

Details

Wenn eine Anwendung HTTP-Antworten mit dem cgi-Gem und nicht vertrauenswürdigen Benutzereingaben generiert, kann ein Angreifer dies ausnutzen, um eine bösartige HTTP-Antwort-Header und/oder -Body einzuschleusen.

Darüber hinaus wurden die Inhalte eines CGI::Cookie-Objekts nicht richtig geprüft. Wenn eine Anwendung ein CGI::Cookie-Objekt basierend auf Benutzereingaben erstellt, kann ein Angreifer dies ausnutzen, um ungültige Attribute im Set-Cookie-Header einzuschleusen. Wir glauben, dass solche Anwendungen unwahrscheinlich sind, aber wir haben zur Vorsicht eine Änderung zur Prüfung der Argumente für CGI::Cookie#initialize aufgenommen.

Bitte aktualisieren Sie das cgi-Gem auf Version 0.3.5, 0.2.2 und 0.1.0.2 oder später. Sie können gem update cgi verwenden, um es zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie gem "cgi", ">= 0.3.5" zu Ihrer Gemfile hinzu.

Betroffene Versionen

• cgi gem 0.3.3 oder älter
• cgi gem 0.2.1 oder älter
• cgi gem 0.1.1 oder 0.1.0.1 oder 0.1.0

Credits

Vielen Dank an Hiroshi Tokumaru für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2022-11-22 02:00:00 (UTC)