ClickCease Plusieurs vulnérabilités de Puma corrigées dans Ubuntu

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Plusieurs vulnérabilités de Puma corrigées dans Ubuntu

Rohan Timalsina

Le 4 avril 2024 - L'équipe d'experts de TuxCare

Puma est un serveur HTTP 1.1 threadé utilisé pour l'exécution d'applications web Ruby. Il facilite la communication entre les navigateurs web et les applications Ruby, en traitant les requêtes entrantes et en délivrant les réponses. Récemment, l'équipe de sécurité d'Ubuntu a publié des mises à jour pour corriger les vulnérabilités de Puma dans les versions Ubuntu 22.04 LTS et Ubuntu 20.04 LTS. Dans cet article, nous allons explorer les spécificités de ces vulnérabilités corrigées.

 

Un examen plus approfondi des vulnérabilités de Puma

 

CVE-2020-11076 & CVE-2020-11077 (score CVSS v3 : 7.5 élevé)

Ces vulnérabilités, découvertes par ZeddYu Lu, proviennent du traitement incorrect de certains en-têtes par Puma. Un attaquant distant peut potentiellement exploiter cela pour lancer des attaques de type HTTP Request Smuggling. Ce problème est spécifique à Ubuntu 20.04 LTS.

 

CVE-2022-23634 (Score CVSS v3 : 5.9 Moyen)

Jean Boussier a identifié une situation dans laquelle Puma pourrait ne pas libérer correctement les ressources après avoir traité des requêtes HTTP. Cette vulnérabilité pourrait potentiellement permettre à un attaquant distant d'accéder à des informations sensibles.

 

CVE-2022-24790 (score CVSS v3 : 7.5 élevé)

Il a été découvert que Puma ne gérait pas correctement certains en-têtes malformés. Cette vulnérabilité pourrait être exploitée par un attaquant distant pour exécuter des attaques de type HTTP Request Smuggling.

 

CVE-2023-40175 (Score CVSS v3 : 9.8 Critique)

Comme pour la vulnérabilité précédente, Ben Kallus a découvert un autre cas de mauvaise analyse de certains en-têtes par Puma. Cette vulnérabilité pourrait également être exploitée pour des attaques de type HTTP Request Smuggling.

 

CVE-2024-21647 (score CVSS v3 : 7.5 élevé)

Bartek Nowotarski a découvert que Puma ne gère pas correctement l'analyse de certains contenus encodés. Un attaquant distant pourrait potentiellement utiliser cette faille pour provoquer une attaque par déni de service (DoS).

 

Conclusion

 

La mise à jour des paquets Puma vers les versions les plus récentes est essentielle pour atténuer ces vulnérabilités et protéger vos applications web. Il est conseillé de se tenir au courant des derniers avis de sécurité concernant Puma et d'autres composants logiciels critiques afin de maintenir une position de sécurité solide.

Pour garantir une protection maximale de vos systèmes Ubuntu, vous pouvez tirer parti de la solution KernelCare Enterprise live patching qui applique automatiquement les correctifs de sécurité au noyau en cours d'exécution sans redémarrage du système ni temps d'arrêt. Outre Ubuntu, KernelCare prend en charge d'autres distributions Linux populaires, notamment Debian, CentOS, AlmaLinux, RHEL, Rocky Linux, Oracle Linux, CloudLinux, etc.

 

Source : USN-6682-1

Résumé
Plusieurs vulnérabilités de Puma corrigées dans Ubuntu
Nom de l'article
Plusieurs vulnérabilités de Puma corrigées dans Ubuntu
Description
Restez informé des vulnérabilités critiques de Puma et de leur impact potentiel. Apprenez des stratégies d'atténuation pour sécuriser vos applications web.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information