Описание
Множественные уязвимости rubygem-puma
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета rubygem-puma или Установить обновление для пакета(ов) rubygem-puma
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
01.10.2024
CVE-2022-24790
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с отсутствием проверки входящих HTTP-запрос на соответствие стандарту RFC7230. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать влияние конфиденциальность, целостность и доступность\
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2021-41136
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с отправкой прокси-сервером ответа обратно другому неизвестному клиенту. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
3.7 Low
CVSS3
3.6 Low
CVSS2
CVE-2022-23634
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с раскрытием конфиденциальной информации неавторизованному лицу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
5.9 Medium
CVSS3
5.4 Medium
CVSS2
CVE-2023-40175
Идентификатор БДУ ФСТЭК России:
BDU:2023-06847Описание уязвимости:
Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с недостатками обработки HTTP-запросов, содержащих заголовок Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2024-21647
Идентификатор БДУ ФСТЭК России:
BDU:2024-00328Описание уязвимости:
Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально сформированного HTTP-запроса (атака типа HTTP Request Smuggling)
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2024-45614
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с затиранием значений, установленных промежуточными прокси-серверами (такими как X-Forwarded-For), предоставляя версию с подчеркиванием того же заголовка (X-Forwarded_For). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать влияние конфиденциальность, целостность и доступность
5.4 Medium
CVSS3
4 Medium
CVSS2