CVE-2021-41819: Cookie Prefix Spoofing pada CGI::Cookie.parse

Sebuah kerentanan cookie prefix spoofing telah ditemukan pada CGI::Cookie.parse. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2021-41819. Kami sangat merekomendasikan untuk memperbarui Ruby.

Detail

Versi lama dari CGI:Cookie.parse mengimplementasikan URL decoding pada nama cookie. Seorang penyerang bisa mengeksploitasi kerentanan ini dengan menyalahgunakan prefiks keamanan pada nama cookie, yang mana dapat mengelabui sebuah aplikasi yang rentan.

Dengan perbaikan ini, CGI:Cookie.parse tidak lagi men-decode nama cookie. Catat bahwa ada sebuah inkompatibilitas jika nama cookie yang sedang Anda gunakan memasukkan karakter bukan alfanumerik yang URL-encoded.

Kerentanan ini sama dengan CVE-2020-8184.

Jika Anda sedang menggunakan Ruby 2.7 atau 3.0:

  • Mohon perbarui cgi gem ke versi 0.3.1, 0.2.1, dan 0.1.1 atau setelahnya. Anda dapat menggunakan perintah gem update cgi untuk memperbaruinya. Jika Anda menggunakan bundler, tambahkan gem "cgi", ">= 0.3.1" pada Gemfile.
  • Alternatif lain adalah memperbarui Ruby ke 2.7.5 atau 3.0.3.

Jika Anda menggunakan Ruby 2.6:

  • Mohon perbarui Ruby ke 2.6.9. Anda tidak dapat menggunakan perintah gem update cgi pada Ruby 2.6 atau sebelumnya.

Versi terimbas

  • ruby 2.6.8 atau sebelumnya (Anda tidak dapat menggunakan perintah gem update cgi pada versi ini.)
  • cgi gem 0.1.0 atau sebelumnya (yang di-bundle dengan rangkaian Ruby 2.7 sebelum Ruby 2.7.5)
  • cgi gem 0.2.0 atau sebelumnya (yang di-bundle dengan rangkaian Ruby 3.0 sebelum Ruby 3.0.3)
  • cgi gem 0.3.0 atau sebelumnya

Rujukan

Terima kasih kepada ooooooo_q yang telah menemukan kerentanan ini.

Riwayat

  • Semula dipublikasikan pada 2021-11-24 12:00:00 (UTC)