Puma 5.6.4/4.3.12セキュリティ修正がリリースされました。詳しくは各種リンク先をご覧ください。
修正された脆弱性CVE-2022-24790は、GitHub Advisory Databaseで「Critical severity」に分類されています。
- リリースタグ: Release 5.6.4 · puma/puma
- リリースタグ: Release 4.3.12 · puma/puma
- PR: Merge pull request from GHSA-h99w-9q5r-gjq9 · puma/puma@5bb7d20
🔗 Pumaで「HTTP Request Smuggling」の脆弱性(CVE-2022-24790)
- GitHub Advisory Database: HTTP Request Smuggling in puma · CVE-2022-24790 · GitHub Advisory Database
- CVE - CVE-2022-24790
詳しくは上記リンク先の情報をご覧ください。
- 影響を受けるPumaバージョン
- Puma 5.0.0〜5.6.3
- Puma 4.3.12未満
- 修正されたPumaバージョン:
- Puma 5.6.4
- Puma 4.3.12
🔗 参考情報
参考: さまざまなサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング | yamory Blog
参考: HTTP Request Smuggling を理解する - Qiita
参考: RFC 7230 - Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
smuggle: (動)密輸する、こっそり持ち込む/持ち出す