検出

Fedora 40 : rubygem-puma (2024-c393b8b2fb)

critical Nessus プラグイン ID 194662

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 40 ホストには、FEDORA-2024-c393b8b2fb のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Puma は、並列処理のために構築された Ruby/Rack Web サーバーです。バージョン 6.3.1 および 5.6.7 より前の puma は、チャンク転送エンコーディング本体およびゼロレングスの Content-Length ヘッダーを、HTTP リクエストのスマグリングを許す方法で解析する際に、不適切な動作を示しました。この問題の深刻度は、puma を使用している Web サイトの性質に大きく左右されます。これは、チャンク転送エンコーディング本体の末尾のフィールドの不適切な解析、または空白/ゼロレングスの Content-Length ヘッダーの解析によって発生する可能性があります。両方の問題が対処されており、この脆弱性はバージョン 6.3.1 および 5.6.7 で修正されています。ユーザーはアップグレードすることをお勧めします。
 この脆弱性に対する既知の回避策はありません。(CVE-2023-40175)

 - Puma は、並列処理のために構築された Ruby/Rack アプリケーション用の Web サーバーです。バージョン 6.4.2 より前の puma は、チャンク転送エンコーディング本体を、HTTP リクエストのスマグリングを許す方法で解析する際に、不適切な動作を示しました。修正済みバージョンでは、チャンク拡張のサイズが制限されます。この制限がないと、攻撃者が無制限にリソース (CPU、ネットワーク帯域幅) を消費する可能性があります。この脆弱性は、バージョン 6.4.2、5.6.8 で修正されました。(CVE-2024-21647)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける rubygem-puma パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2024-c393b8b2fb

プラグインの詳細

深刻度: Critical

ID: 194662

ファイル名: fedora_2024-c393b8b2fb.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2024/4/29

更新日: 2024/4/29

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-40175

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:40, p-cpe:/a:fedoraproject:fedora:rubygem-puma

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/1/12

脆弱性公開日: 2023/8/18

参照情報

CVE: CVE-2023-40175, CVE-2024-21647