Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞:
- CVE-2021-33621:CGI 中的 HTTP 响应拆分
如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入恶意的 HTTP 响应标头和/或正文。
此外,CGI::Cookie
未正确检查对象的内容。如果应用程序CGI::Cookie
根据用户输入创建对象,攻击者可能会利用它在Set-Cookie
标头中注入无效属性。
受影响的版本
- cgi gem 0.3.3 or before
- cgi gem 0.2.1 or before
- cgi gem 0.1.1 or 0.1.0.1 or 0.1.0
目前 cgi gem 发布了修复版本: 0.3.5、0.2.2 和 0.1.0.2,可使用 gem update cgi 来更新,亦可通过升级到 Ruby 3.1.3、3.0.5、2.1.7 来自动修复此漏洞。