Debian DLA-3023-1：puma - LTS 安全性更新

high Nessus Plugin ID 161515

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 9 主機上安裝的一個套件受到 dla-3023 公告中提及的多個弱點影響。

- 在 Puma 3.12.2 和 4.3.1 之前版本中，有違規行為的用戶端可使用 keepalive 要求獨占 Puma 的反應器並發動拒絕服務攻擊。如果向 Puma 開放的 keepalive 連線多於可用執行緒，且攻擊者傳送要求的頻率足夠高，則其他連線將永久等待。此弱點已在 Puma 4.3.1 和 3.12.2 版本中得到修補。(CVE-2019-16770)

- 在 Puma (RubyGem) 4.3.2 和 3.12.3 之前版本中，如果使用 Puma 的應用程式允許在回應標頭中使用不受信任的輸入，則攻擊者可使用新行字元 (即 `CR`、`LF` 或 `/r`、`/ n`) 結束標頭並注入惡意內容，例如其他標頭或全新的回應內文。此弱點稱為 HTTP 回應拆分。雖然回應拆分本身不屬於攻擊，但可引發其他多種攻擊，例如跨網站指令碼 (XSS)。這與 CVE-2019-16254 存在關聯，但後者已針對 WEBrick Ruby Web 伺服器修正此弱點。此弱點已在 4.3.2 和 3.12.3 版本中修正，方法是檢查行結尾的所有標頭並拒絕含有這些字元的標頭。
(CVE-2020-5247)

- Puma 是一個專為實現平行執行而建構的 Ruby/Rack Web 伺服器。在 Puma 5.6.2 之前版本中，`puma` 可能並不總是在回應內文中呼叫 `close`。在 Rails 7.0.2.2 之前版本中，Rails 必須關閉回應內文，其 `CurrentAttributes` 實作才能正確運作。這兩種行為同時出現 (Puma 未關閉內文 + Rails 的 Executor 實作) 會造成資訊洩漏。此問題已在 Puma 5.6.2 和 4.3.11 版本中得到修正。此問題已在 Rails 7.02.2、6.1.4.6、6.0.4.6 和 5.2.6.2 版本中得到修正。升級至修補後的 Rails _or_ Puma 版本可修正該弱點。(CVE-2022-23634)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。