CVE-2024-25126
Rack ReDos in content type parsing (2nd degree polynomial)
En resumen
Un encabezado Content-Type manipulado puede hacer que el parser de Rack sea muy lento, dejando el servidor web sin responder. Es un ataque de denegación de servicio que explota cómo se procesan los tipos de contenido.
Detalle técnico
Una vulnerabilidad ReDoS de segundo grado existe en el analizador de tipo de medios de Rack al procesar encabezados Content-Type maliciosos. Un atacante remoto no autenticado puede enviar solicitudes especialmente construidas para agotar los recursos del servidor e invocar una condición de denegación de servicio. La vulnerabilidad se corrigió en las versiones 3.0.9.1 y 2.2.8.1.
Resumen generado y traducido por IA a partir de la descripción oficial.
Rack is a modular Ruby web server interface. Carefully crafted content type headers can cause Rack’s media type parser to take much longer than expected, leading to a possible denial of service vulnerability (ReDos 2nd degree polynomial). This vulnerability is patched in 3.0.9.1 and 2.2.8.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
rack · rack¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://discuss.rubyonrails.org/t/denial-of-service-vulnerability-in-rack-content-type-parsing/84941https://github.com/rack/rack/commit/6efb2ceea003c4b195815a614e00438cbd543462https://github.com/rack/rack/commit/d9c163a443b8cadf4711d84bd2c58cb9ef89cf49https://github.com/rack/rack/security/advisories/GHSA-22f2-v57c-j9cxhttps://github.com/rubysec/ruby-advisory-db/blob/master/gems/rack/CVE-2024-25126.ymlhttps://lists.debian.org/debian-lts-announce/2024/04/msg00022.htmlhttps://security.netapp.com/advisory/ntap-20240510-0005/