Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07773

Опубликовано: 11 фев. 2022
Источник: fstec
CVSS3: 8
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с раскрытием конфиденциальной информации неавторизованному лицу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
АО "НППКТ"
Rails Core Team

Наименование ПО

Debian GNU/Linux
Ubuntu
РЕД ОС
ОСОН ОСнова Оnyx
Puma
Ruby on Rails

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
22.04 LTS (Ubuntu)
до 2.6 (ОСОН ОСнова Оnyx)
до 4.3.11 (Puma)
от 5.0.0 до 5.6.2 (Puma)
от 5.0.0 до 5.2.6.2 (Ruby on Rails)
от 6.0.0 до 6.0.4.6 (Ruby on Rails)
от 6.1.0 до 6.1.4.6 (Ruby on Rails)
от 7.0.0 до 7.0.2.2 (Ruby on Rails)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Puma:
https://github.com/advisories/GHSA-rmj8-8hhh-gv5h
Для Ruby on Rails:
https://github.com/advisories/GHSA-wh98-p28r-vrc9
Для РедоС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23634
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-23634
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения puma до версии 3.12.0-2+deb10u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 53%
0.00303
Низкий

8 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23634

CVSS3: 8
ubuntu
больше 3 лет назад

Puma is a Ruby/Rack web server built for parallelism. Prior to `puma` version `5.6.2`, `puma` may not always call `close` on the response body. Rails, prior to version `7.0.2.2`, depended on the response body being closed in order for its `CurrentAttributes` implementation to work correctly. The combination of these two behaviors (Puma not closing the body + Rails' Executor implementation) causes information leakage. This problem is fixed in Puma versions 5.6.2 and 4.3.11. This problem is fixed in Rails versions 7.02.2, 6.1.4.6, 6.0.4.6, and 5.2.6.2. Upgrading to a patched Rails _or_ Puma version fixes the vulnerability.

redhat логотип

CVE-2022-23634

CVSS3: 8
redhat
больше 3 лет назад

Puma is a Ruby/Rack web server built for parallelism. Prior to `puma` version `5.6.2`, `puma` may not always call `close` on the response body. Rails, prior to version `7.0.2.2`, depended on the response body being closed in order for its `CurrentAttributes` implementation to work correctly. The combination of these two behaviors (Puma not closing the body + Rails' Executor implementation) causes information leakage. This problem is fixed in Puma versions 5.6.2 and 4.3.11. This problem is fixed in Rails versions 7.02.2, 6.1.4.6, 6.0.4.6, and 5.2.6.2. Upgrading to a patched Rails _or_ Puma version fixes the vulnerability.

nvd логотип

CVE-2022-23634

CVSS3: 8
nvd
больше 3 лет назад

Puma is a Ruby/Rack web server built for parallelism. Prior to `puma` version `5.6.2`, `puma` may not always call `close` on the response body. Rails, prior to version `7.0.2.2`, depended on the response body being closed in order for its `CurrentAttributes` implementation to work correctly. The combination of these two behaviors (Puma not closing the body + Rails' Executor implementation) causes information leakage. This problem is fixed in Puma versions 5.6.2 and 4.3.11. This problem is fixed in Rails versions 7.02.2, 6.1.4.6, 6.0.4.6, and 5.2.6.2. Upgrading to a patched Rails _or_ Puma version fixes the vulnerability.

debian логотип

CVE-2022-23634

CVSS3: 8
debian
больше 3 лет назад

Puma is a Ruby/Rack web server built for parallelism. Prior to `puma` ...

github логотип

GHSA-rmj8-8hhh-gv5h

CVSS3: 8
github
больше 3 лет назад

Puma used with Rails may lead to Information Exposure

EPSS

Процентиль: 53%
0.00303
Низкий

8 High

CVSS3

7.1 High

CVSS2