摘要:
rubygem-rack security update
安全等级: High
公告ID: KylinSec-SA-2024-3570
发布日期: 2024年8月23日
Rack为用Ruby开发web应用程序提供了一个最小、模块化和可适应的接口。通过以最简单的方式包装HTTP请求和响应,它将web服务器、web框架和中间软件(所谓的中间件)的API统一并提取为单个方法调用。
安全修复:
Rack>=1.5.0的Range标头解析组件中存在拒绝服务漏洞。精心编制的输入可能会导致Rack中的Range标头解析组件花费意外的时间,可能导致拒绝服务攻击向量。任何处理Range请求的应用程序(如流媒体应用程序或提供文件的应用程序)都可能受到影响。(CVE-2022-44570)
在2.0.9.2、2.1.4.2、2.2.4.1、3.0.0.1中修复的Rack的内容处理解析组件中存在拒绝服务漏洞。这可能使攻击者能够编写输入,从而导致Rack中的Content-Disposition头解析花费意外的时间,可能导致拒绝服务攻击向量。此标头通常用于多部分解析。任何使用Rack解析多部分帖子的应用程序(几乎所有Rails应用程序)都会受到影响。(CVE-2022-44571)
Rack是一个模块化的Ruby web服务器接口。精心制作的内容类型标头可能会导致Rack的媒体类型解析器花费比预期更长的时间,从而导致可能的拒绝服务漏洞(ReDos二次多项式)。3.0.9.1和2.2.8.1中修补了此漏洞。(CVE-2024-25126)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2022-44570 | KY3.5.2 | rubygem-rack | Fixed |
| CVE-2022-44571 | KY3.5.2 | rubygem-rack | Fixed |
| CVE-2024-25126 | KY3.5.2 | rubygem-rack | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| rubygem-rack | noarch | 2.2.3.1-4.ky3_5 |
| rubygem-rack-help | noarch | 2.2.3.1-4.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
