ClickCease Múltiples vulnerabilidades Puma corregidas en Ubuntu

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Múltiples vulnerabilidades Puma corregidas en Ubuntu

Rohan Timalsina

4 de abril de 2024 - Equipo de expertos TuxCare

Puma es un servidor HTTP 1.1 de hilos utilizado para ejecutar aplicaciones web Ruby. Facilita la comunicación entre los navegadores web y las aplicaciones Ruby, gestionando las peticiones entrantes y entregando las respuestas. Recientemente, el equipo de seguridad de Ubuntu ha publicado actualizaciones para solucionar las vulnerabilidades de Puma en las versiones Ubuntu 22.04 LTS y Ubuntu 20.04 LTS. En este artículo, exploraremos los detalles específicos de estas vulnerabilidades parcheadas.

 

Una mirada más de cerca a las vulnerabilidades de Puma

 

CVE-2020-11076 y CVE-2020-11077 (Puntuación CVSS v3: 7,5 Alto)

Estas vulnerabilidades, descubiertas por ZeddYu Lu, tienen su origen en el manejo incorrecto de ciertas cabeceras por parte de Puma. Un atacante remoto podría aprovecharse de ello para lanzar ataques de contrabando de peticiones HTTP. Este problema era específico de Ubuntu 20.04 LTS.

 

CVE-2022-23634 (Puntuación CVSS v3: 5,9 Media)

Jean Boussier identificó una situación en la que Puma podría no liberar correctamente los recursos después de procesar las solicitudes HTTP. Esta vulnerabilidad podría permitir a un atacante remoto acceder a información sensible.

 

CVE-2022-24790 (Puntuación CVSS v3: 7,5 Alto)

Se descubrió que Puma manejaba incorrectamente ciertas cabeceras malformadas. Esta vulnerabilidad podría ser aprovechada por un atacante remoto para ejecutar ataques de contrabando de peticiones HTTP.

 

CVE-2023-40175 (Puntuación CVSS v3: 9,8 Crítico)

De forma similar a la vulnerabilidad anterior, Ben Kallus descubrió otro caso en el que Puma no analizaba correctamente ciertas cabeceras. Esta vulnerabilidad también podría ser explotada para ataques HTTP Request Smuggling.

 

CVE-2024-21647 (Puntuación CVSS v3: 7,5 Alto)

Bartek Nowotarski descubrió que Puma gestionaba incorrectamente el análisis de ciertos contenidos codificados. Un atacante remoto podría utilizar este fallo para provocar un ataque de denegación de servicio (DoS).

 

Conclusión

 

Actualizar los paquetes de Puma a las últimas versiones es esencial para mitigar estas vulnerabilidades y proteger sus aplicaciones web. Es aconsejable mantenerse al día de los últimos avisos de seguridad para Puma y otros componentes de software críticos para mantener una postura de seguridad sólida.

Para garantizar la máxima protección de sus sistemas Ubuntu, puede aprovechar la solución de aplicación de parches en vivo KernelCare Enterprise, que aplica automáticamente parches de seguridad al kernel en ejecución sin reinicios ni tiempos de inactividad del sistema. Además de Ubuntu, KernelCare es compatible con otras distribuciones populares de Linux, como Debian, CentOS, AlmaLinux, RHEL, Rocky Linux, Oracle Linux y CloudLinux, entre otras.

 

Fuente: USN-6682-1

Resumen
Múltiples vulnerabilidades Puma corregidas en Ubuntu
Nombre del artículo
Múltiples vulnerabilidades Puma corregidas en Ubuntu
Descripción
Manténgase informado sobre las vulnerabilidades críticas de Puma y su impacto potencial. Aprenda estrategias de mitigación para proteger sus aplicaciones web.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín