Ruby 3.1.3、3.0.5、2.1.7 发布,修复高危漏洞


Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞:

  • CVE-2021-33621:CGI 中的 HTTP 响应拆分

如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入恶意的 HTTP 响应标头和/或正文。

此外,CGI::Cookie未正确检查对象的内容。如果应用程序CGI::Cookie根据用户输入创建对象,攻击者可能会利用它在Set-Cookie标头中注入无效属性。

受影响的版本

  • cgi gem 0.3.3 or before
  • cgi gem 0.2.1 or before
  • cgi gem 0.1.1 or 0.1.0.1 or 0.1.0

目前  cgi gem 发布了修复版本: 0.3.5、0.2.2 和 0.1.0.2,可使用 gem update cgi 来更新,亦可通过升级到 Ruby 3.1.3、3.0.5、2.1.7 来自动修复此漏洞。


相關推薦

2022-11-03

OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用

2022-03-31

RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:。 在这个敏感的时间点,该

2021-12-16

修复方案】 升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本! ◎ 方案1 - 修改代码 针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 : 备注:由于Ranger社区尚未修复log4j

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

2023-10-12

curl 8.4.0 已正式发布,创始人 Daniel Stenberg(社区称号 bagder)已提前一周预告了该版本——修复高危安全漏洞,并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞,同时影响到 libcurl 库和 curl 工具。 根据介绍,这个高

2022-03-09

建议,将补丁发送到 LKML(不含漏洞详细信息)2022-02-23:发布包含错误修复的 Linux 稳定版本 (5.16.11、5.15.25、5.10.102)2022-02-24:Google 将错误修复合并到 Android 内核2022-02-28:通知 linux-distros 邮件列表2022-03-07:公开披露

2024-07-03

影响版本号 8.5p1 ~ 9.7p1..... https://security-tracker.debian.org/tracker/CVE-2024-6387 https://ubuntu.com/security/CVE-2024-6387 TL:DR: CVE-2024-6387 is a Remote Unauthenticated Code Execution vulnerability in glibc-based Linux systems. Don't panic, as exploitation has currently only been

2021-12-24

2-23 漏洞简述 2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一个开放源

2023-09-13

加低代码开发模式配置 jeecg.jmreport.firewall.lowCodeMode: prod 发布模式下会关闭所有报表设计相关接口,普通用户只能访问报表不能做任何报表修改,彻底解决被攻击风险 为了便于线上报表临时维护,拥有角色 "admin"、"lowdeveloper" 的

2023-04-01

Ruby 3.2.2 现已发布,具体更新内容包括: 为 Ruby 3.2 反向移植 [Bug #19158] by hsbt · Pull Request#7356 错误 #19415:并发要求的不正确循环警告 错误 #19400:YJIT 无法在 64 KiB 页面的 ARM64 系统上启动 错误 #19419:[BUG] 尝试在ibf_dump_mark

2023-02-04

Ronin 2.0.0 已正式发布。 Ronin 是用于安全研究和开发的 Ruby 工具包,它包含许多不同的 CLI 命令和 Ruby 库,适用于各种安全场景,例如编码 / 解码数据、过滤 IP / 主机 / URL、查询 ASN、查询 DNS、HTTP、扫描 Web 漏洞、爬取网站、安装

2021-11-18

Synopsys 最新发布了一份“2021 Software Vulnerability Snapshot”研究报告,基于对 2600 个软件或系统目标进行的 3900 次测试。其中,83% 的测试目标是 Web 应用程序或系统、12% 是移动应用程序、其余为源代码或网络系统/应用。参与测试的

2024-04-02

统信软件发布公告称,在开源软件 liblzma/xz 5.6.0 及 5.6.1 版本存在安全漏洞的消息被披露后,已对旗下所有产品完成了排查,确认包括统信UOS桌面操作系统与服务器操作系统各版本均不受其影响,各位用户可放心使用。 漏洞描

2021-12-24

、Ruby 或 Node 编写的客户应用程序的源代码。Wiz 团队将该漏洞命名为“NotLegit”,并指出这一漏洞自 2017 年 9 月以来就一直存在,很可能已经被利用。 Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞。微软方面在 12 月 7 日至