Bulletin d'alerte Debian

DLA-2398-1 puma -- Mise à jour de sécurité pour LTS

Date du rapport :
8 octobre 2020
Paquets concernés :
puma
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-11076, CVE-2020-11077.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans puma, un serveur HTTP hautement concurrent pour les applications Ruby/Rack.

  • CVE-2020-11076

    En utilisant un en-tête d’encodage de transfert non valable, un attaquant pourrait introduire subrepticement une réponse HTTP.

  • CVE-2020-11077

    Un client pourrait dissimuler une requête à travers un mandataire, amenant le mandataire à renvoyer une réponse à un client inconnu. Si le mandataire utilise des connexions persistantes et que le client ajoute une autre requête à l’aide d’enchainements (pipelining) HTTP, un mandataire pourrait la confondre comme étant le corps de la première requête. Puma, cependant, le verrait comme deux requêtes, et lors du traitement de la seconde requête, renverrait une réponse inattendue par le mandataire. Si le mandataire avait réutilisé la connexion persistante vers Puma pour envoyer une autre requête à un client différent, la seconde réponse du premier client serait envoyée au second client.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 3.6.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets puma.

Pour disposer d'un état détaillé sur la sécurité de puma, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/puma.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.