BDU:2025-13874

Опубликовано: 10 окт. 2025

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость класса Rack::Request#POST модульного интерфейса между веб-серверами и веб-приложениями Rack связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Leah Neukirchen

Наименование ПО

Red Hat Enterprise Linux

OpenSUSE Leap

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

Red Hat 3scale API Management Platform

Debian GNU/Linux

РЕД ОС

Rack

Версия ПО

7 (Red Hat Enterprise Linux)

15.5 (OpenSUSE Leap)

8 (Red Hat Enterprise Linux)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

15-LTSS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

2 (Red Hat 3scale API Management Platform)

15.3 (OpenSUSE Leap)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

15.4 (OpenSUSE Leap)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP2 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

15 SP4 (Suse Linux Enterprise Server)

15 (Suse Linux Enterprise Server)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-BCL (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP4-LTSS (Suse Linux Enterprise Server)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15.6 (OpenSUSE Leap)

9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Telecommunications Update Service (Red Hat Enterprise Linux)

9.4 Extended Update Support (Red Hat Enterprise Linux)

15 SP5-LTSS (Suse Linux Enterprise Server)

15 SP7 (Suse Linux Enterprise Server)

15 SP7 (SUSE Linux Enterprise Server for SAP Applications)

10 (Red Hat Enterprise Linux)

8.8 Telecommunications Update Service (Red Hat Enterprise Linux)

8.8 Update Services for SAP Solutions (Red Hat Enterprise Linux)

9.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)

13 (Debian GNU/Linux)

до 2.2.20 (Rack)

от 3.0 до 3.1.18 (Rack)

от 3.2 до 3.2.3 (Rack)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Novell Inc. OpenSUSE Leap 15.5

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. OpenSUSE Leap 15.3

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support

Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP7

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7

Red Hat Inc. Red Hat Enterprise Linux 10

Red Hat Inc. Red Hat Enterprise Linux 8.8 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.8 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 9.2 Update Services for SAP Solutions

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Rack:

https://github.com/rack/rack/commit/4e2c903991a790ee211a3021808ff4fd6fe82881

https://github.com/rack/rack/commit/cbd541e8a3d0c5830a3c9a30d3718ce2e124f9db

https://github.com/rack/rack/commit/e179614c4a653283286f5f046428cbb85f21146f

https://github.com/rack/rack/security/advisories/GHSA-6xw4-3v39-52mm

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2025-61919

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-61919

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2025-61919.html

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-rubygem-rack-06112025/?sphrase_id=1345283

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-61919
CVE

EPSS

Процентиль: 24%

0.00081

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2025-61919

CVSS3: 7.5

ubuntu

около 2 месяцев назад

Rack is a modular Ruby web server interface. Prior to versions 2.2.20, 3.1.18, and 3.2.3, `Rack::Request#POST` reads the entire request body into memory for `Content-Type: application/x-www-form-urlencoded`, calling `rack.input.read(nil)` without enforcing a length or cap. Large request bodies can therefore be buffered completely into process memory before parsing, leading to denial of service (DoS) through memory exhaustion. Users should upgrade to Rack version 2.2.20, 3.1.18, or 3.2.3, anu of which enforces form parameter limits using `query_parser.bytesize_limit`, preventing unbounded reads of `application/x-www-form-urlencoded` bodies. Additionally, enforce strict maximum body size at the proxy or web server layer (e.g., Nginx `client_max_body_size`, Apache `LimitRequestBody`).

CVE-2025-61919

CVSS3: 7.5

nvd

около 2 месяцев назад

CVE-2025-61919

CVSS3: 7.5

debian

около 2 месяцев назад

Rack is a modular Ruby web server interface. Prior to versions 2.2.20, ...

GHSA-6xw4-3v39-52mm

CVSS3: 7.5

github

около 2 месяцев назад

Rack is vulnerable to a memory-exhaustion DoS through unbounded URL-encoded body parsing

SUSE-SU-2025:4273-1

suse-cvrf

4 дня назад

Security update for rubygem-rack

EPSS

Процентиль: 24%

0.00081

Низкий

7.5 High

CVSS3

7.8 High

CVSS2