摘要:
rubygem-puma security update
安全等级: Critical
公告ID: KylinSec-SA-2024-4065
发布日期: 2024年10月12日
关联CVE: CVE-2022-24790 CVE-2024-21647 CVE-2024-45614 CVE-2023-40175
Puma是一个为Ruby/Rack应用程序设计的简单、快速、多线程且高度并发的HTTP 1.1服务器。
安全修复(修复):
Puma是一个为Ruby/Rack应用程序设计的简单、快速、多线程、并行的HTTP 1.1服务器。当Puma位于一个不恰当验证传入HTTP请求是否符合RFC7230标准的代理后面时,Puma和前端代理可能会对请求的开始和结束位置产生分歧。这将允许通过前端代理向Puma走私请求。该漏洞已在5.6.4和4.3.12版本中修复。建议用户尽快升级。变通方法:在Puma前面部署代理时,打开所有功能以确保请求符合RFC7230标准。(CVE-2022-24790)
Puma是一个为并行性而构建的Ruby/Rack Web服务器。在6.3.1和5.6.7版本之前,Puma在解析分块传输编码体和零长度Content-Length头部时表现出不正确的行为,这允许HTTP请求走私。这个问题的严重性高度依赖于使用Puma的网站的性质。这可能是由于分块传输编码体中尾部字段的错误解析,或者是由于空白/零长度Content-Length头部的解析。这两个问题都已得到解决,该漏洞已在6.3.1和5.6.7版本中修复。建议用户升级。目前没有已知的针对这个漏洞的变通方法。(CVE-2023-40175)
Puma是一个为并行性而构建的Ruby/Rack应用程序的Web服务器。在6.4.2版本之前,Puma在解析分块传输编码体时表现出不正确的行为,这允许HTTP请求走私。修复的版本限制了块扩展的大小。如果没有这个限制,攻击者可能会导致无限制的资源(CPU、网络带宽)消耗。这个漏洞已在6.4.2和5.6.8版本中修复。(CVE-2024-21647)
Puma是一个为并行性而构建的Ruby/Rack Web服务器。在受影响的版本中,客户端可以通过提供相同头部的下划线版本(X-Forwarded_For)来覆盖中间代理(如X-Forwarded-For)设置的值。任何依赖代理设置变量的用户都会受到影响。v6.4.3/v5.6.9现在丢弃任何使用下划线的头部,如果也存在非下划线版本。实际上,允许代理定义的头部始终获胜。建议用户升级。Nginx有一个underscores_in_headers配置变量,在代理级别丢弃这些头部作为一种缓解措施。任何隐含地信任代理定义的头部用于安全的用户应立即停止这样做,直到升级到修复的版本。(CVE-2024-45614)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2022-24790 | KY3.5.2 | rubygem-puma | Fixed |
| CVE-2024-21647 | KY3.5.2 | rubygem-puma | Fixed |
| CVE-2024-45614 | KY3.5.2 | rubygem-puma | Fixed |
| CVE-2023-40175 | KY3.5.2 | rubygem-puma | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| rubygem-puma-doc | noarch | 5.6.5-3.ky3_5 |
| rubygem-puma | x86_64 | 5.6.5-3.ky3_5 |
| rubygem-puma | aarch64 | 5.6.5-3.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
