Ruby 3.1.3、3.0.5、2.1.7 发布,修复高危漏洞


Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞:

  • CVE-2021-33621:CGI 中的 HTTP 响应拆分

如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入恶意的 HTTP 响应标头和/或正文。

此外,CGI::Cookie未正确检查对象的内容。如果应用程序CGI::Cookie根据用户输入创建对象,攻击者可能会利用它在Set-Cookie标头中注入无效属性。

受影响的版本

  • cgi gem 0.3.3 or before
  • cgi gem 0.2.1 or before
  • cgi gem 0.1.1 or 0.1.0.1 or 0.1.0

目前  cgi gem 发布了修复版本: 0.3.5、0.2.2 和 0.1.0.2,可使用 gem update cgi 来更新,亦可通过升级到 Ruby 3.1.3、3.0.5、2.1.7 来自动修复此漏洞。


相關推薦

2022-11-03

OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用

2025-08-14

谷歌发布了最新版 Chrome 浏览器更新,修复多个高严重级别安全漏洞,这些漏洞可能允许攻击者在用户设备上执行任意代码。 此次更新适用于 Windows、macOS 和 Linux 平台的版本:[139.0.7258.127/.128 (Windows/macOS)] 和 [139.0.7258.127 (Linux)]

2025-08-26

Google 近日发布 Chrome 稳定版更新,修复了 V8 JavaScript 引擎中的一个高危漏洞(CVE-2025-9132)。该漏洞属于 越界写入(out-of-bounds write),攻击者可通过恶意网页触发内存破坏,进而导致浏览器崩溃或远程代码执行。 此次更新覆盖

2025-08-27

Docker 近日发布更新,修复了 Docker Desktop 在 Windows 10/11 和 macOS 版本中存在的一处高危漏洞。该漏洞编号为 CVE-2025-9074,评分高达 9.3/10,利用难度低,风险极高。官方已在 Docker Desktop v4.44.3 中完成修复,建议所有用户立即升级。

2025-08-13

严重性为 S0/S1 级,并列为 P1 优先级修复。 谷歌已于 5 月发布的 Chrome 更新中修复该漏洞,并在 8 月 12 日公开披露细节。 根据谷歌“漏洞猎人(Google Bug Hunters)”计划,提交包含 RCE 演示的高质量非沙盒进程逃逸或内存损坏漏

2025-05-24

控制GPU服务器,窃取模型、算力或中断服务。vLLM团队已修复该漏洞并致谢腾讯朱雀实验室。 漏洞技术细节 vLLM 最初由加州大学伯克利分校 Sky Computing 实验室开发,现已成为社区驱动的开源项目,为 LLM 推理和服务提供快速易

2022-03-31

RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:。 在这个敏感的时间点,该

2021-12-16

修复方案】 升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本! ◎ 方案1 - 修改代码 针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 : 备注:由于Ranger社区尚未修复log4j

2025-05-28

安全通报中心今日发文,称 AI 绘图工具 ComfyUI 存在多个高危漏洞,包含任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577)。 公告写道,攻击者可利用上述漏洞

2025-03-25

2.0 12.2.0 ≤ Next.js < 14.2.25 15.0.0 ≤ Next.js < 15.2.3 修复方案 立即升级至安全版本: Next.js 15.x → ≥15.2.3 (更新日志) Next.js 14.x → ≥14.2.25 (更新日志) 临时缓解措施:在 CDN/反向代理层过滤 x-middleware-subrequest&n

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

2023-10-12

curl 8.4.0 已正式发布,创始人 Daniel Stenberg(社区称号 bagder)已提前一周预告了该版本——修复高危安全漏洞,并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞,同时影响到 libcurl 库和 curl 工具。 根据介绍,这个高

2022-03-09

建议,将补丁发送到 LKML(不含漏洞详细信息)2022-02-23:发布包含错误修复的 Linux 稳定版本 (5.16.11、5.15.25、5.10.102)2022-02-24:Google 将错误修复合并到 Android 内核2022-02-28:通知 linux-distros 邮件列表2022-03-07:公开披露

2024-07-03

影响版本号 8.5p1 ~ 9.7p1..... https://security-tracker.debian.org/tracker/CVE-2024-6387 https://ubuntu.com/security/CVE-2024-6387 TL:DR: CVE-2024-6387 is a Remote Unauthenticated Code Execution vulnerability in glibc-based Linux systems. Don't panic, as exploitation has currently only been