Ruby 3.1.3、3.0.5、2.1.7 发布，修复高危漏洞

Ruby 3.1.3、3.0.5、2.1.7 发布了，这几个版本都只包含一个安全修复程序，修复了同一个漏洞：

• CVE-2021-33621：CGI 中的 HTTP 响应拆分

如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应，则攻击者可以利用它来注入恶意的 HTTP 响应标头和/或正文。

此外，CGI::Cookie未正确检查对象的内容。如果应用程序CGI::Cookie根据用户输入创建对象，攻击者可能会利用它在Set-Cookie标头中注入无效属性。

受影响的版本

• cgi gem 0.3.3 or before
• cgi gem 0.2.1 or before
• cgi gem 0.1.1 or 0.1.0.1 or 0.1.0

目前  cgi gem 发布了修复版本： 0.3.5、0.2.2 和 0.1.0.2，可使用 gem update cgi 来更新，亦可通过升级到 Ruby 3.1.3、3.0.5、2.1.7 来自动修复此漏洞。