GLSA-202208-28:Puma:多個弱點

high Nessus Plugin ID 164109

語系:

描述

遠端主機受到 GLSA-202208-28 中所述的弱點影響 (Puma:多個弱點)

- Puma 是 Ruby/Rack 應用程式的並行 HTTP 1.1 伺服器。CVE-2019-16770 的修正不完整。原始修正程式僅保護已接受的現有連線,防止其要求被持續連線耗盡,導致相同處理程序中的所有執行緒飽和。
但是,新連線仍可能被持續連線耗盡,使叢集中所有處理程序的所有執行緒飽和。當收到的並行「keep-alive」連線超過執行緒集區中的執行緒數量時,「puma」伺服器只會服務其中部分連線,拒絕未提供服務的連線。此問題已在 puma 4.3.8 和 5.3.1 中修正。設定「queue_requests false」也可修正此問題。在沒有反向代理伺服器的情況下使用「puma」時(如「nginx」或「apache」),不建議這樣做,以免遭到慢速用戶端攻擊 (例如 slowloris)。此修復程式非常小,另有一個 git 修補程式可供使用不受支援的 Puma 版本者使用。(CVE-2021-29509)

- Puma 是 Ruby/Rack 應用程式的 HTTP 1.1 伺服器。在 5.5.1 和 4.3.9 之前版本中,將 `puma` 與轉送包含 LF 字元之 HTTP 標頭值的代理伺服器一起使用時,將可能允許執行 HTTP 要求走私。用戶端可透過代理伺服器走私要求,造成該伺服器將回應傳送回另一個未知用戶端。據 Puma 團隊所知,唯一具有此行為的代理伺服器是 Apache Traffic Server。如果 Proxy 使用持續連線,而用戶端透過 HTTP 管線化新增其他要求,Proxy 可能會將其誤認為第一個要求的內文。不過,Puma 會將其視為兩個要求,而且在處理第二個要求時,會傳回 Proxy 未預期的回應。如果 Proxy 重複使用與 Puma 的持續連線來傳送其他用戶端的其他要求,則來自第一個用戶端的第二個回應會傳送至第二個用戶端。此弱點已在 Puma 5.5.1 和 4.3.9 版本中得到修補。可以透過不搭配使用 `puma` 與 Apache Traffic Server 來解決此問題。(CVE-2021-41136)

- Puma 是一個專為實現平行執行而建構的 Ruby/Rack Web 伺服器。在 Puma 5.6.2 之前版本中,`puma` 可能並不總是在回應內文中呼叫 `close`。在 Rails 7.0.2.2 之前版本中,Rails 必須關閉回應內文,其 `CurrentAttributes` 實作才能正確運作。這兩種行為同時出現 (Puma 未關閉內文 + Rails 的 Executor 實作) 會造成資訊洩漏。此問題已在 Puma 5.6.2 和 4.3.11 版本中得到修正。此問題已在 Rails 7.02.2、6.1.4.6、6.0.4.6 和 5.2.6.2 版本中得到修正。升級至修補後的 Rails _or_ Puma 版本可修正該弱點。(CVE-2022-23634)

- Puma 是用於 Ruby/Rack 應用程式的 HTTP 1.1 伺服器,簡單、快速,且能夠實現多執行緒平行執行。在未正確驗證傳入 HTTP 要求是否符合 RFC7230 標準的代理伺服器後使用 Puma 時,Puma 和前端 Proxy 可能在要求開始和結束的位置上意見不一。這會允許透過前端代理伺服器將要求走私給 Puma。此弱點已在 5.6.4 和 4.3.12 版本中得到修正。建議使用者盡快進行升級。因應措施:在 Puma 前面部署代理伺服器時,開啟所有功能以確保要求符合 RFC7230 標準。
(CVE-2022-24790)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Puma 使用者皆應升級至最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=www-servers/puma-5.6.4

另請參閱

https://security.gentoo.org/glsa/202208-28

https://bugs.gentoo.org/show_bug.cgi?id=794034

https://bugs.gentoo.org/show_bug.cgi?id=817893

https://bugs.gentoo.org/show_bug.cgi?id=833155

https://bugs.gentoo.org/show_bug.cgi?id=836431

Plugin 詳細資訊

嚴重性: High

ID: 164109

檔案名稱: gentoo_GLSA-202208-28.nasl

版本: 1.2

類型: local

已發布: 2022/8/15

已更新: 2022/8/15

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-24790

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:o:gentoo:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:gentoo:linux:puma:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/8/14

弱點發布日期: 2021/5/11

參考資訊

CVE: CVE-2021-29509, CVE-2021-41136, CVE-2022-23634, CVE-2022-24790