ClickCease 우분투의 여러 Puma 취약점 수정

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

우분투의 여러 Puma 취약점 수정

로한 티말시나

2024년 4월 4일 TuxCare 전문가 팀

Puma는 루비 웹 애플리케이션을 실행하는 데 사용되는 스레드형 HTTP 1.1 서버입니다. 웹 브라우저와 루비 애플리케이션 간의 통신을 용이하게 하여 들어오는 요청을 처리하고 응답을 전달합니다. 최근 우분투 보안팀은 우분투 22.04 LTS 및 우분투 20.04 LTS 릴리스에서 Puma 취약점을 해결하기 위한 업데이트를 발표했습니다. 이 문서에서는 이러한 패치된 취약점의 구체적인 내용을 살펴보겠습니다.

 

퓨마 취약점 자세히 살펴보기

 

CVE-2020-11076 및 CVE-2020-11077(CVSS v3 점수: 7.5 높음)

제드유 루가 발견한 이 취약점은 푸마가 특정 헤더를 잘못 처리하는 데서 비롯되었습니다. 원격 공격자가 이를 악용하여 HTTP 요청 스머글링 공격을 실행할 수 있습니다. 이 문제는 우분투 20.04 LTS에만 해당되었습니다.

 

CVE-2022-23634(CVSS v3 점수: 5.9 중간)

장 부시에가 Puma가 HTTP 요청을 처리한 후 리소스를 제대로 릴리스하지 않을 수 있는 상황을 발견했습니다. 이 취약점으로 인해 원격 공격자가 민감한 정보에 액세스할 수 있는 가능성이 있습니다.

 

CVE-2022-24790(CVSS v3 점수: 7.5 높음)

푸마가 특정 잘못된 헤더를 잘못 처리하는 것으로 밝혀졌습니다. 원격 공격자가 이 취약점을 악용하여 HTTP 요청 스머핑 공격을 실행할 수 있습니다.

 

CVE-2023-40175(CVSS v3 점수: 9.8 심각)

이전 취약점과 유사하게, 벤 칼러스는 푸마가 특정 헤더를 잘못 처리하는 또 다른 사례를 발견했습니다. 이 취약점 역시 HTTP 요청 스머글링 공격에 악용될 수 있습니다.

 

CVE-2024-21647(CVSS v3 점수: 7.5 높음)

바르텍 노보타르스키가 Puma가 특정 인코딩된 콘텐츠 구문 분석을 잘못 처리하는 것을 발견했습니다. 원격 공격자는 이 결함을 이용해 서비스 거부(DoS) 공격을 일으킬 수 있습니다.

 

결론

 

이러한 취약점을 완화하고 웹 애플리케이션을 보호하려면 Puma 패키지를 최신 버전으로 업그레이드하는 것이 필수적입니다. 강력한 보안 태세를 유지하려면 Puma 및 기타 중요 소프트웨어 구성 요소에 대한 최신 보안 권고 사항을 계속 업데이트하는 것이 좋습니다.

Ubuntu 시스템을 최대한 보호하기 위해 시스템 재시작이나 다운타임 없이 실행 중인 커널에 보안 패치를 자동으로 적용하는 KernelCare Enterprise 라이브 패칭 솔루션을 활용할 수 있습니다. KernelCare는 우분투 외에도 Debian, CentOS, AlmaLinux, RHEL, Rocky Linux, Oracle Linux, CloudLinux 등 널리 사용되는 다른 Linux 배포판을 지원합니다.

 

출처 USN-6682-1

요약
우분투의 여러 Puma 취약점 수정
기사 이름
우분투의 여러 Puma 취약점 수정
설명
중요한 Puma 취약점과 그 잠재적 영향에 대한 최신 정보를 확인하세요. 웹 애플리케이션을 보호하기 위한 완화 전략을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기