Debian dla-3947 : puma - セキュリティ更新

medium Nessus プラグイン ID 210422

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-3947 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3947-1 [email protected] https://www.debian.org/lts/security/Abhijith PA 2024 年 11 月 6 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ: puma バージョン : 4.3.8-1+deb11u3 CVE ID : CVE-2024-21647 CVE-2024-45614

Ruby/Rack アプリケーション用のスレッド HTTP サーバーである puma における 2 つの脆弱性が修正されました。

CVE-2024-21647

チャンク転送エンコーディングの本体を解析する際に、不正な動作が発生し、HTTP リクエストスマグリングが可能でした。修正済みバージョンでは、チャンク拡張のサイズが制限されます。この制限がないと、攻撃者が無制限にリソース (CPU、ネットワーク帯域幅) を消費する可能性があります。

CVE-2024-45614

クライアントは、同じヘッダー (X-Forwarded-For) のアンダースコア版 (X-Forwarded_For) を提供することによって、インターミディエイトプロキシ (例: X-Forwarded-For) によって設定された値を上書きすることができました。プロキシ設定された変数に依存しているすべてのユーザーは影響を受けます。

Debian 11 bullseye においては、これらの問題はバージョン 4.3.8-1+deb11u3 で修正されました。

お使いの puma パッケージをアップグレードすることを推奨します。

puma の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/puma

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。