WEBrickの潜在的なHTTPリクエストスマグリングの脆弱性が報告されました。

WEBrick（ruby2.3にバンドル済み）は、無効なTransfer-Encodingヘッダーに対する許容度が高すぎました。これにより、WEBrickと一部のHTTPプロキシサーバーの間で解釈の一貫性が失われる可能性があり、攻撃者がリクエストを「スマグリング」する可能性があります。

Debian 9「Stretch」では、この問題はバージョン2.3.3-1+deb9u9で修正されています。

お使いのruby2.3パッケージをアップグレードすることを推奨します。

ruby2.3の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/ruby2.3

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2391-1: ruby2.3セキュリティ更新

high Nessus プラグイン ID 141133

バージョン 1.4