LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-3023-1 puma

Bulletin d'alerte Debian

DLA-3023-1 puma -- Mise à jour de sécurité pour LTS

Date du rapport :

26 mai 2022

Paquets concernés :

puma

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 946312, Bogue 952766, Bogue 1005391.
Dans le dictionnaire CVE du Mitre : CVE-2019-16770, CVE-2020-5247, CVE-2022-23634.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans puma, un serveur web pour les applications Ruby/Rack. Ces défauts pouvaient conduire à une fuite d'information due à la fermeture non systématique du corps des réponses, permettant une entrée non fiable dans un en-tête de réponse (découpage de réponse HTTP) et facilitant ainsi éventuellement plusieurs autres attaques tel qu'un script intersite. Un client au mauvais comportement pouvait aussi utiliser des requêtes persistantes pour monopoliser le réacteur de Puma et créer une attaque par déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.6.0-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets puma.

Pour disposer d'un état détaillé sur la sécurité de puma, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/puma.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.