Translate CVE-2021-33621 news post (id)

Author: meisyal

id/news/_posts/2022-11-22-http-response-splitting-in-cgi-cve-2021-33621.md

@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "CVE-2021-33621: HTTP response splitting pada CGI"
+author: "mame"
+translator: "meisyal"
+date: 2022-11-22 02:00:00 +0000
+tags: security
+lang: id
+---
+
+Kami telah merilis *gem* cgi versi 0.3.5, 0.2.2, dan 0.1.0.2 yang memiliki
+sebuah kerentanan HTTP *response splitting*.
+Kerentanan ini telah ditetapkan dengan penanda CVE
+[CVE-2021-33621](https://nvd.nist.gov/vuln/detail/CVE-2021-33621).
+
+## Detail
+
+Jika sebuah aplikasi menghasilkan respons HTTP dengan menggunakan *gem* cgi
+melalui masukan pengguna yang tidak dapat dipercaya, seorang penyerang dapat
+mengeksploitasinya dengan menginjeksi sebuah HTTP *response header* dan/atau
+*body* yang berbahaya.
+
+Begitu pula, isi dari objek `CGI::Cookie` tidak dicek dengan tepat. Jika sebuah
+aplikasi membuat sebuah objek `CGI::Cookie` berdasarkan masukan pengguna,
+seorang penyerang bisa mengeksploitasinya dengan menginjeksi atribut-atribut
+yang tidak valid pada `Set-Cookie` *header*. Kami berpikir hal tersebut tidak
+mungkin terjadi, tetapi kami telah memasukkan perubahan untuk mengecek
+argumen pada `CGI::Cookie#initialize` secara preventif.
+
+Mohon perbarui versi *gem* cgi ke 0.3.5, 0.2.2, dan 0.1.0.2, atau setelahnya.
+Anda dapat menggunakan perintah `gem update cgi` untuk memperbarui.
+Jika Anda menggunakan *bundler*, mohon tambahkan `gem "cgi", ">= 0.3.5"` pada
+`Gemfile` Anda.
+
+## Versi terimbas
+
+* cgi gem 0.3.3 atau sebelumnya
+* cgi gem 0.2.1 atau sebelumnya
+* cgi gem 0.1.1 atau 0.1.0.1 atau 0.1.0
+
+## Rujukan
+
+Terima kasih kepada [Hiroshi Tokumaru](https://hackerone.com/htokumaru?type=user)
+yang telah menemukan isu ini.
+
+## Riwayat
+
+Semula dipublikasikan pada 2022-11-22 02:00:00 (UTC)