Debian DLA-3023-1: puma - LTS のセキュリティ更新

high Nessus プラグイン ID 161515

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 9 ホストには、dla-3023 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- バージョン 3.12.2 および 4.3.1より前の Puma では、動作不良のクライアントがキープアライブリクエストを使用して、Puma のリアクターを独占し、サービス拒否攻撃を行う可能性があります。利用可能なスレッドよりも多くの Puma へのキープアライブ接続が開かれている場合、攻撃者がリクエストを非常に頻繁に送信すると、追加の接続が永続的に待機します。この脆弱性は、Puma 4.3.1 および 3.12.2 でパッチが適用されます。(CVE-2019-16770)

- 4.3.2より前および3.12.3より前の Puma (RubyGem) では、Puma を使用するアプリケーションが応答ヘッダーに信頼できない入力を許可すると、攻撃者は改行文字 (すなわち `CR`, `LF` または `/r`, `/n`) を使ってヘッダーを終了させて、追加のヘッダーやまったく新しい応答本文など悪意のあるコンテンツを注入する可能性があります。この脆弱性は、HTTP 応答分割として知られています。それ自体は攻撃ではありませんが、応答分割はクロスサイトスクリプティング (XSS) など、他のいくつかの攻撃の媒介となるものです。これは、WEBrick Ruby Web サーバーのこの脆弱性を修正した CVE-2019-16254 に関連しています。バージョン 4.3.2 および 3.12.3 ですべてのヘッダーの行末をチェックし、それらの文字が含まれるヘッダーを拒否することにより、この問題は修正されました。
(CVE-2020-5247)

- Puma は、並列処理のために構築された Ruby/Rack Web サーバーです。「puma」バージョン「5.6.2」より前では、「puma」が応答本文で「close」を呼び出さないときがあります。バージョン「7.0.2.2」より前の Rails では、「CurrentAttributes」実装の正しい機能は閉じられている応答本文に依存していました。これら 2 つの動作の組み合わせ (Puma が本文を閉じない + Rails の Executor 実装) により、情報漏洩が発生します。この問題は Puma バージョン 5.6.2 および 4.3.11 で修正されています。この問題は Rails バージョン 7.02.2、6.1.4.6、6.0.4.6、および 5.2.6.2 で修正されています。パッチを適用した Rails _or_ Puma バージョンにアップグレードすると、この脆弱性が修正されます。(CVE-2022-23634)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。