Puma 环境问题漏洞（CVE-2022-24790）

admin

0
文章

0
评论

2023-11-30 08:28:24 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Puma 环境问题漏洞（CVE-2022-24790）

CVE编号

CVE-2022-24790

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-03-31

漏洞描述

Puma是美国Evan Phoenix个人开发者的一款针对高并发应用的Web服务器。 Puma 存在环境问题漏洞，该漏洞源于当在未正确验证传入 HTTP 请求是否符合 RFC7230 标准的代理后面使用 Puma 时，Puma 和前端代理可能会在请求开始和结束的位置上存在分歧。这将允许通过前端代理将请求走私到 Puma。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/puma/puma/security/advisories/GHSA-h99w-9q5r-gjq9

参考链接
https://github.com/puma/puma/commit/5bb7d202e24dec00a898dca4aa11db391d7787a5
https://github.com/puma/puma/security/advisories/GHSA-h99w-9q5r-gjq9
https://lists.debian.org/debian-lts-announce/2022/08/msg00015.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202208-28
https://www.debian.org/security/2022/dsa-5146

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	puma	puma	*		Up to (excluding) 4.3.12
	运行在以下环境
	应用	puma	puma	*	From (including) 5.0.0	Up to (excluding) 5.6.4
	运行在以下环境
	系统	amazon_2022	rubygem-puma	*		Up to (excluding) 4.3.12-1.amzn2022.0.1
	运行在以下环境
	系统	debian_10	puma	*		Up to (excluding) 3.12.0-2+deb10u3
	运行在以下环境
	系统	debian_11	puma	*		Up to (excluding) 4.3.8-1+deb11u2
	运行在以下环境
	系统	debian_12	puma	*		Up to (excluding) 5.6.4-1
	运行在以下环境
	系统	debian_9	puma	*		Up to (including) 3.6.0-1
	运行在以下环境
	系统	debian_sid	puma	*		Up to (excluding) 5.6.4-1
	运行在以下环境
	系统	fedora_35	rubygem-puma-doc	*		Up to (excluding) 4.3.6-5.fc35
	运行在以下环境
	系统	fedora_36	rubygem-puma-doc	*		Up to (excluding) 5.5.2-3.fc36
	运行在以下环境
	系统	fedora_37	rubygem-puma-doc	*		Up to (excluding) 5.6.5-1.fc37
	运行在以下环境
	系统	fedora_38	rubygem-puma-doc	*		Up to (excluding) 5.6.5-1.fc38
	运行在以下环境
	系统	opensuse_Leap_15.3	ruby2.5-rubygem-puma-doc	*		Up to (excluding) 4.3.12-150000.3.9.1
	运行在以下环境
	系统	opensuse_Leap_15.4	ruby2.5-rubygem-puma-doc	*		Up to (excluding) 4.3.12-150000.3.9.1