Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с некорректной нейтрализацией символов CR, LF, /r и /n перед внесением данных в HTTP-заголовки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки
Использование рекомендаций:
Для Puma:
https://github.com/puma/puma/security/advisories/GHSA-84j7-475p-hp8v
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BMJ3CGZ3DLBJ5WUUKMI5ZFXFJQMXJZIK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DIHVO3CQMU7BZC7FCTSRJ33YDNS3GFPK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NJ3LL5F5QADB6LM46GXZETREAKZMQNRD/
Для ОСОН Основа:
Обновление программного обеспечения puma до версии 3.12.0-2+deb10u2
| Балл | 7.5 — высокая опасность |