Vulnerabilidad en el encabezado de respuesta en WEBrick en Ruby. (CVE-2019-16254)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
26/11/2019
Última modificación:
30/04/2023
Descripción
Ruby versiones hasta 2.4.7, versiones 2.5.x hasta 2.5.6 y versiones 2.6.x hasta 2.6.4, permite HTTP Response Splitting. Si un programa que utiliza WEBrick inserta información no segura en el encabezado de respuesta, un atacante puede explotarlo para insertar un carácter newline para dividir un encabezado e inyectar contenido malicioso para engañar a los clientes. NOTA: este problema se presenta debido a una solución incompleta de CVE-2017-17742, que abordó el vector CRLF, pero no abordó un CR aislado o un LF aislado.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.3.0 (incluyendo) | |
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | 2.4.7 (incluyendo) |
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.5.0 (incluyendo) | 2.5.6 (incluyendo) |
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.4 (incluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00041.html
- https://hackerone.com/reports/331984
- https://lists.debian.org/debian-lts-announce/2019/11/msg00025.html
- https://lists.debian.org/debian-lts-announce/2019/12/msg00009.html
- https://lists.debian.org/debian-lts-announce/2020/08/msg00027.html
- https://lists.debian.org/debian-lts-announce/2023/04/msg00033.html
- https://seclists.org/bugtraq/2019/Dec/31
- https://seclists.org/bugtraq/2019/Dec/32
- https://security.gentoo.org/glsa/202003-06
- https://www.debian.org/security/2019/dsa-4586
- https://www.debian.org/security/2019/dsa-4587
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.ruby-lang.org/ja/news/2019/10/01/http-response-splitting-in-webrick-cve-2019-16254/
- https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-4-8-released/
- https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-5-7-released/
- https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-6-5-released/