Debian DLA-3083-1：puma - LTS 安全性更新

high Nessus Plugin ID 164646

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的一個套件受到 dla-3083 公告中提及的多個弱點影響。

- Puma 是 Ruby/Rack 應用程式的並行 HTTP 1.1 伺服器。CVE-2019-16770 的修正不完整。原始修正程式僅保護已接受的現有連線，防止其要求被持續連線耗盡，導致相同處理程序中的所有執行緒飽和。
但是，新連線仍可能被持續連線耗盡，使叢集中所有處理程序的所有執行緒飽和。當收到的並行「keep-alive」連線超過執行緒集區中的執行緒數量時，「puma」伺服器只會服務其中部分連線，拒絕未提供服務的連線。此問題已在 puma 4.3.8 和 5.3.1 中修正。設定「queue_requests false」也可修正此問題。在沒有反向代理伺服器的情況下使用「puma」時（如「nginx」或「apache」），不建議這樣做，以免遭到慢速用戶端攻擊 (例如 slowloris)。此修復程式非常小，另有一個 git 修補程式可供使用不受支援的 Puma 版本者使用。(CVE-2021-29509)

- Puma 是 Ruby/Rack 應用程式的 HTTP 1.1 伺服器。在 5.5.1 和 4.3.9 之前版本中，將 `puma` 與轉送包含 LF 字元之 HTTP 標頭值的代理伺服器一起使用時，將可能允許執行 HTTP 要求走私。用戶端可透過代理伺服器走私要求，造成該伺服器將回應傳送回另一個未知用戶端。據 Puma 團隊所知，唯一具有此行為的代理伺服器是 Apache Traffic Server。如果 Proxy 使用持續連線，而用戶端透過 HTTP 管線化新增其他要求，Proxy 可能會將其誤認為第一個要求的內文。不過，Puma 會將其視為兩個要求，而且在處理第二個要求時，會傳回 Proxy 未預期的回應。如果 Proxy 重複使用與 Puma 的持續連線來傳送其他用戶端的其他要求，則來自第一個用戶端的第二個回應會傳送至第二個用戶端。此弱點已在 Puma 5.5.1 和 4.3.9 版本中得到修補。可以透過不搭配使用 `puma` 與 Apache Traffic Server 來解決此問題。(CVE-2021-41136)

- Puma 是一個專為實現平行執行而建構的 Ruby/Rack Web 伺服器。在 Puma 5.6.2 之前版本中，`puma` 可能並不總是在回應內文中呼叫 `close`。在 Rails 7.0.2.2 之前版本中，Rails 必須關閉回應內文，其 `CurrentAttributes` 實作才能正確運作。這兩種行為同時出現 (Puma 未關閉內文 + Rails 的 Executor 實作) 會造成資訊洩漏。此問題已在 Puma 5.6.2 和 4.3.11 版本中得到修正。此問題已在 Rails 7.02.2、6.1.4.6、6.0.4.6 和 5.2.6.2 版本中得到修正。升級至修補後的 Rails _or_ Puma 版本可修正該弱點。(CVE-2022-23634)

- Puma 是用於 Ruby/Rack 應用程式的 HTTP 1.1 伺服器，簡單、快速，且能夠實現多執行緒平行執行。在未正確驗證傳入 HTTP 要求是否符合 RFC7230 標準的代理伺服器後使用 Puma 時，Puma 和前端 Proxy 可能在要求開始和結束的位置上意見不一。這會允許透過前端代理伺服器將要求走私給 Puma。此弱點已在 5.6.4 和 4.3.12 版本中得到修正。建議使用者盡快進行升級。因應措施：在 Puma 前面部署代理伺服器時，開啟所有功能以確保要求符合 RFC7230 標準。
(CVE-2022-24790)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。