Debian dla-4357ruby-rack - セキュリティ更新

medium Nessus プラグイン ID 272174

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4357アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- -------------------------------------------------- ---------------------- Debian LTS アドバイザリ DLA-4357-1 [email protected] https://www.debian.org/lts/security/Utkarsh Gupta 2025 年 11 月 1 日 https://wiki.debian.org/LTS
- -----------------------------------------------------------------------

パッケージ ruby-rack バージョン2.1.4-3+deb11u4 CVE ID CVE-2025-32441 CVE-2025-46727 CVE-2025-59830 CVE-2025-61770 CVE-2025-61771 CVE-2025-61772 CVE-2025-61780 CVE-2025-61919 Debian バグ1104927 1116431 1117855 1117856 1117627 1117628

モジュラー Ruby Web サーバーインターフェイスである ruby-rack に次のように複数の脆弱性が見つかりました

- CVE-2025-32441Rack セッションは削除後に復元できます。
- CVE-2025-46727Rack::QueryParser の際限のないパラメーター解析により、メモリ枯渇が発生する可能性があります。
- CVE-2025-59830Rack::QueryParser の際限のないパラメーター解析により、セミコロンで区切られたパラメーターを介してメモリ枯渇が発生する可能性があります。
- CVE-2025-61770無制限のマルチパートプリアンブルバッファリングにより、DoS メモリ枯渇が可能になります。
- CVE-2025-61771マルチパートパーサーが、大きな非ファイルフィールドをメモリで完全にバッファリングし、DoSメモリ枯渇を可能にします。
- CVE-2025-61772マルチパートパーサーが、際限のないパートごとのヘッダーをバッファリングし、DoSメモリ枯渇を引き起こす可能性があります。
- CVE-2025-61919Rack::Request フォーム解析での無限読み取りが、メモリ枯渇を引き起こす可能性があります。
- CVE-2025-61780Rack::Sendfile のヘッダーが不適切に処理されているため、プロキシがバイパスされる可能性があります。

Debian 11 Bullseyeでは、これらの問題はバージョン2.1.4-3+deb11u4で修正されました。

お使いの ruby-rack パッケージをアップグレードすることを推奨します。

ruby-rack の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/ruby-rack

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。