ГлавнаяБаза уязвимостей БДУ → BDU:2020-04073
7.5высокая

BDU:2020-04073 (CVE-2019-16254)

Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, связанная с некорректной нейтрализацией символов CR, LF, /r и /n перед внесением данных в HTTP-заголовки, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2020-08-28
Описание

Уязвимость HTTP-сервера для Ruby/Rack приложений Puma связана с некорректной нейтрализацией символов CR, LF, /r и /n перед внесением данных в HTTP-заголовки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки

Затрагиваемое ПО и версии
Fedora (30)Fedora (31)Fedora (32)Puma (до 4.3.2)Puma (до 3.12.4)ОСОН ОСнова Оnyx (до 2.1)
Способ устранения

Использование рекомендаций:
Для Puma:
https://github.com/puma/puma/security/advisories/GHSA-84j7-475p-hp8v

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BMJ3CGZ3DLBJ5WUUKMI5ZFXFJQMXJZIK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DIHVO3CQMU7BZC7FCTSRJ33YDNS3GFPK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NJ3LL5F5QADB6LM46GXZETREAKZMQNRD/

Для ОСОН Основа:
Обновление программного обеспечения puma до версии 3.12.0-2+deb10u2

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://github.com/puma/puma/security/advisories/GHSA-84j7-475p-hp8vhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BMJ3CGZ3DLBJ5WUUKMI5ZFXFJQMXJZIK/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DIHVO3CQMU7BZC7FCTSRJ33YDNS3GFPK/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NJ3LL5F5QADB6LM46GXZETREAKZMQNRD/https://owasp.org/www-community/attacks/HTTP_Response_Splittinghttps://www.ruby-lang.org/en/news/2019/10/01/http-response-splitting-in-webrick-cve-2019-16254https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена