ナショナル脆弱性データベース: 

Rack（RubyGem rack）に、情報漏洩/セッションハイジャックの脆弱性の可能性があります。この脆弱性には、バージョン1.6.12および2.0.8でパッチが適用されます。攻撃者が、セッションIDを標的とするタイミング攻撃を使用して、セッションを見つけてハイジャックする可能性があります。通常、セッションIDは、そのセッションIDの検索を高速化するための何らかのスキームを使用するデータベースに保存され、インデックス化されます。セッションの検索にかかる時間を注意深く測定することで、攻撃者が有効なセッションIDを見つけてセッションをハイジャックする可能性があります。セッションID自体はランダムに生成される場合がありますが、セッションがバッキングストアによってインデックス付けされる方法では、安全な比較が使用されません。

検出

FreeBSD: rack -- 情報漏洩/セッションハイジャックの脆弱性（66e4dc99-28b3-11ea-8dde-08002728f74c）

medium Nessus プラグイン ID 132428

バージョン 1.3