-
Notifications
You must be signed in to change notification settings - Fork 611
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
1 changed file
with
26 additions
and
26 deletions.
There are no files selected for viewing
52 changes: 26 additions & 26 deletions
52
.../_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -1,47 +1,47 @@ | ||
--- | ||
layout: news_post | ||
title: "CVE-2021-41819: Cookie Prefix Spoofing in CGI::Cookie.parse" | ||
title: "CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장" | ||
author: "mame" | ||
translator: | ||
translator: "shia" | ||
date: 2021-11-24 12:00:00 +0000 | ||
tags: security | ||
lang: en | ||
lang: ko | ||
--- | ||
|
||
A cookie prefix spoofing vulnerability was discovered in CGI::Cookie.parse. | ||
This vulnerability has been assigned the CVE identifier [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819). | ||
We strongly recommend upgrading Ruby. | ||
CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다. | ||
이 취약점은 CVE 번호 [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819)로 등록되었습니다. | ||
Ruby를 갱신하는 것을 강력히 권장합니다. | ||
|
||
## Details | ||
## 세부 내용 | ||
|
||
The old versions of `CGI::Cookie.parse` applied URL decoding to cookie names. | ||
An attacker could exploit this vulnerability to spoof security prefixes in cookie names, which may be able to trick a vulnerable application. | ||
`CGI::Cookie.parse`의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다. | ||
공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다. | ||
|
||
By this fix, `CGI::Cookie.parse` no longer decodes cookie names. | ||
Note that this is an incompatibility if cookie names that you are using include non-alphanumeric characters that are URL-encoded. | ||
이 수정으로 `CGI::Cookie.parse`는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다. | ||
사용하고 있는 쿠키 이름에 URL 인코딩이 적용된 영숫자 이외의 문자가 사용되었을 경우 호환되지 않으므로 주의하세요. | ||
|
||
This is the same issue of [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184). | ||
이는 [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184)와 동일한 문제입니다. | ||
|
||
If you are using Ruby 2.7 or 3.0: | ||
Ruby 2.7이나 3.0을 사용하고 있는 경우. | ||
|
||
* Please update the cgi gem to version 0.3.1, 0.2.1, and 0.1.1 or later. You can use `gem update cgi` to update it. If you are using bundler, please add `gem "cgi", ">= 0.3.1"` to your `Gemfile`. | ||
* Alternatively, please update Ruby to 2.7.5 or 3.0.3. | ||
* cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요. | ||
* 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요. | ||
|
||
If you are using Ruby 2.6: | ||
Ruby 2.6을 사용하고 있는 경우. | ||
|
||
* Please update Ruby to 2.6.9. *You cannot use `gem update cgi` for Ruby 2.6 or prior.* | ||
* Ruby를 2.6.9로 갱신해 주세요. *Ruby 2.6 이하에서는 `gem update cgi`를 사용할 수 없습니다.* | ||
|
||
## Affected versions | ||
## 해당 버전 | ||
|
||
* ruby 2.6.8 or prior (You can *not* use `gem update cgi` for this version.) | ||
* cgi gem 0.1.0 or prior (which are bundled versions with Ruby 2.7 series prior to Ruby 2.7.5) | ||
* cgi gem 0.2.0 or prior (which are bundled versions with Ruby 3.0 series prior to Ruby 3.0.3) | ||
* cgi gem 0.3.0 or prior | ||
* Ruby 2.6.8 이하 (해당 버전에서는 `gem update cgi`를 *사용할 수 없습니다*) | ||
* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전) | ||
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전) | ||
* cgi gem 0.3.0 이하 | ||
|
||
## Credits | ||
## 도움을 준 사람 | ||
|
||
Thanks to [ooooooo_q](https://hackerone.com/ooooooo_q) for discovering this issue. | ||
이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다. | ||
|
||
## History | ||
## 수정 이력 | ||
|
||
* Originally published at 2021-11-24 12:00:00 (UTC) | ||
* 2021-11-24 12:00:00 (UTC) 최초 공개 |