Debian DLA-3023-1:puma - LTS 安全更新

high Nessus 插件 ID 161515

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 9 主机上安装的一个程序包受到 dla-3023 公告中提及的多个漏洞影响。

- 在 Puma 3.12.2 和 4.3.1 之前版本中,存在违规行为的客户端可利用 keepalive 请求独占 Puma 的反应器并发起拒绝服务攻击。如果已向 Puma 开放多个 keepalive 连接且这个数目多于可用线程,则在攻击者发送请求足够频繁的情况下,其他连接将处于永久等待状态。Puma 4.3.1 和 3.12.2 版本已修补此漏洞。(CVE-2019-16770)

- 在 Puma (RubyGem) 4.3.2 和 3.12.3 版本中,如果使用 Puma 的应用程序允许在响应标头中出现不受信任的输入,则攻击者可使用换行符(即“CR”、“LF”或“/r”、“/n”) 来结束标头并注入恶意内容,例如其他标头或全新的响应正文。此漏洞称为 HTTP 响应拆分。虽然响应拆分本身不属于攻击,但会引发多种其他攻击,例如跨站脚本 (XSS)。这其实与 CVE-2019-16254 相关,但后者已针对 WEBrick Ruby Web 服务器修复此漏洞。此漏洞已在 4.3.2 和 3.12.3 版本中修复,方法是检查所有标头的行尾并拒绝包含这些字符的标头。
(CVE-2020-5247)

- Puma 是为实现并行性而构建的 Ruby/Rack Web 服务器。在 `puma` 5.6.2 之前版本中,`puma` 可能不会始终在响应正文中调用 `close`。在 Rails `7.0.2.2` 之前版本中,Rails 需要关闭响应正文,才能使其 `CurrentAttributes` 实现正确工作。这两种行为同时出现(Puma 未关闭正文 + Rails 的 Executor 实现)将会导致信息泄漏。此问题已在 Puma 5.6.2 和 4.3.11 版本中修复。此问题已在 Rails 7.02.2、6.1.4.6、6.0.4.6 和 5.2.6.2 版本中修复。升级到修补后的 Rails _or_ Puma 版本可修复此漏洞。(CVE-2022-23634)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级 puma 程序包。

针对 Debian 9 Stretch,这些问题已在 3.6.0-1+deb9u2 版本中解决。

另见

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=946312

https://security-tracker.debian.org/tracker/source-package/puma

https://www.debian.org/lts/security/2022/dla-3023

https://security-tracker.debian.org/tracker/CVE-2019-16770

https://security-tracker.debian.org/tracker/CVE-2020-5247

https://security-tracker.debian.org/tracker/CVE-2022-23634

https://packages.debian.org/source/stretch/puma

插件详情

严重性: High

ID: 161515

文件名: debian_DLA-3023.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2022/5/26

最近更新时间: 2022/5/26

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2020-5247

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:puma, cpe:/o:debian:debian_linux:9.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2022/5/26

漏洞发布日期: 2019/12/5

参考资料信息

CVE: CVE-2019-16770, CVE-2020-5247, CVE-2022-23634