From: Hideki Yamane <henrich@...>
Date: 2010-08-11T21:34:22+09:00
Subject: [ruby-dev:42003] WEBrickに関するセキュリティ修正 (CVE-2010-0541)


　やまねと申します。

　どなたか、以下のWEBrickに関するセキュリティ修正をご存知の方はいらっしゃい
　ますか？

　http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0541

　Apple のアドバイザリは以下で

>Ruby
>CVE-ID:  CVE-2010-0541
>Available for:  Mac OS X v10.5.8, Mac OS X Server v10.5.8,
>Mac OS X v10.6 through v10.6.3, Mac OS X Server v10.6 through v10.6.3
>Impact:  A remote attacker may gain access to accounts served by Ruby
>WEBrick
>Description:  A cross-site scripting issue exists in the Ruby WEBrick
>HTTP server's handling of error pages. Accessing a maliciously
>crafted URL in certain web browsers may cause the error page to be
>treated as UTF-7, allowing JavaScript injection. The issue is
>addressed by setting UTF-8 as the default character set in HTTP error
>responses. Credit: Apple.

　ざっと検索してみたところRed Hatのbugzillaにそのパッチというのが出ています。
　https://bugzilla.redhat.com/show_bug.cgi?id=587731

--- lib/webrick/httpresponse.rb.old        2010-03-31 18:47:40.000000000 -0700
+++ lib/webrick/httpresponse.rb        2010-03-31 18:48:21.000000000 -0700
@@ -209,7 +209,7 @@
        @keep_alive = false
        self.status = HTTPStatus::RC_INTERNAL_SERVER_ERROR
      end
-      @header['content-type'] = "text/html"
+      @header['content-type'] = "text/html; charset=utf-8"

      if respond_to?(:create_error_page)
        create_error_page()


　snapshotのアーカイブを展開してみましたが上記の変更は加えられてないので、
　そもそもruby本体に修正の話が来ていないんじゃないかと思ってメールしてみました。
　これで修正内容が十分なのか、わかる方がいらっしゃったらぜひ確認してみていただけ
　ると嬉しいです :)


-- 
Regards,

 Hideki Yamane     henrich @ debian.or.jp/org
 http://wiki.debian.org/HidekiYamane