摘要:
rubygem-rack security update
安全等级: High
公告ID: KylinSec-SA-2024-3125
发布日期: 2024年7月12日
关联CVE: CVE-2024-26141 CVE-2022-44572
Rack为用Ruby开发web应用程序提供了一个最小、模块化和可适应的接口。通过以最简单的方式包装HTTP请求和响应,它将web服务器、web框架和中间软件(所谓的中间件)的API统一并提取为单个方法调用。
安全修复:
在2.0.9.2、2.1.4.2、2.2.4.1和3.0.0.1中修复的Rack的多部分解析组件中存在拒绝服务漏洞,攻击者可以通过该漏洞获取输入,从而导致Rack中的RFC2183多部分边界解析花费意外的时间,可能导致拒绝服务攻击向量。任何使用Rack解析多部分帖子的应用程序(几乎所有Rails应用程序)都会受到影响。(CVE-2022-44572)
Rack是一个模块化的Ruby web服务器接口。精心设计的Range标头可能会导致服务器以意外的大响应进行响应。如此大的响应可能会导致拒绝服务问题。易受攻击的应用程序将使用“Rack::File”中间件或“Rack::Utils.byte_ranges”方法(包括Rails应用程序)。该漏洞已在3.0.9.1和2.2.8.1中修复。(CVE-2024-26141)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-26141 | KY3.5.2 | rubygem-rack | Fixed |
| CVE-2022-44572 | KY3.5.2 | rubygem-rack | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| rubygem-rack | noarch | 2.2.3.1-4.ky3_5 |
| rubygem-rack-help | noarch | 2.2.3.1-4.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
