Plattform
ruby
Komponente
rack
Behoben in
2.2.24
3.0.1
3.2.1
2.2.23
CVE-2026-34826 describes a Denial of Service (DoS) vulnerability within the Ruby Rack library's Rack::Utils.getbyteranges function. This flaw allows attackers to exhaust server resources by crafting requests with a large number of overlapping byte range specifications. The vulnerability impacts Rack versions 2.2.9 and earlier, and a fix is available in version 2.2.23.
CVE-2026-34826 betrifft die Rack-Gem, eine grundlegende Komponente für Webanwendungen in Ruby. Die Schwachstelle liegt in der Funktion Rack::Utils.getbyteranges, die HTTP Range-Header für den teilweisen Download von Dateien verarbeitet. Obwohl eine frühere Korrektur (CVE-2024-26141) das Problem von Bereichen behandelte, die die Dateigröße überschreiten, begrenzt sie nicht die Anzahl der einzelnen Bereiche, die angefordert werden können. Ein Angreifer kann dies ausnutzen, indem er eine große Anzahl kleiner, überlappender Bereiche sendet (z. B. 0-0,0-0,0-0,...), um übermäßige Serverressourcen zu verbrauchen, einschließlich CPU, Speicher, E/A und Bandbreite. Dies kann zu einem Denial-of-Service (DoS)-Zustand führen, der die Webanwendung unzugänglich macht oder sehr langsam funktionieren lässt.
Diese Schwachstelle ist besonders relevant für Webanwendungen, die große Dateien bereitstellen und teilweise Downloads ermöglichen. Angreifer können gezielte DoS-Angriffe gegen diese Server starten, insbesondere wenn sie nicht ausreichend geschützt sind. Die einfache Generierung von Anfragen mit mehreren Bereichen macht die Ausnutzung relativ einfach. Die Schwachstelle erfordert keine Authentifizierung, was ihr Risiko erhöht. Die frühere Korrektur für CVE-2024-26141 bietet zwar eine wichtige Verbesserung, bietet aber keinen vollständigen Schutz vor diesem spezifischen Problem.
Applications and services utilizing Rack for file serving, particularly those running older versions (≤2.2.9), are at risk. This includes web applications, APIs, and any system relying on Rack to handle HTTP requests and serve files. Shared hosting environments where Rack is used could be particularly vulnerable, as a compromised tenant could potentially impact other users on the same server.
• ruby / server:
ps aux | grep 'Rack::Utils.get_byte_ranges'• generic web:
curl -I 'http://your-rack-app/file.txt?Range=0-0,0-0,0-0,0-0,0-0' | grep 'Server: Rack'disclosure
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung besteht darin, die Rack-Gem auf Version 2.2.23 oder höher zu aktualisieren. Diese Version enthält die Korrektur, die die Anzahl der im Range-Header zulässigen Bereiche begrenzt und so eine übermäßige Ressourcennutzung verhindert. Wenn ein sofortiges Update nicht möglich ist, sollten Sie Maßnahmen zum Schutz auf Serverebene (z. B. Nginx oder Apache) implementieren, um die Anzahl der Range-Header pro Anfrage zu begrenzen oder Ratenbegrenzungen für Anfragen anzuwenden. Die Überwachung der Serverressourcennutzung ist entscheidend, um potenzielle DoS-Angriffe zu erkennen.
Actualice la gema Rack a la versión 2.2.23, 3.1.21 o 3.2.6, o superior, según corresponda a su versión actual. Esto solucionará la vulnerabilidad de denegación de servicio causada por el procesamiento ilimitado de rangos de bytes en las cabeceras HTTP Range.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Rack ist eine grundlegende Bibliothek im Ruby-Ökosystem für die Entwicklung von Webanwendungen. Sie bietet eine Standard-Schnittstelle zwischen Webservern und Ruby-Anwendungen, was die Erstellung und Bereitstellung von Webanwendungen erleichtert.
Überprüfen Sie die Version der Rack-Gem, die in Ihrer Anwendung installiert ist. Wenn sie unter 2.2.23 liegt, sind Sie anfällig. Sie können den Befehl gem list rack in der Befehlszeile verwenden.
Implementieren Sie Schutzmaßnahmen auf Serverebene, z. B. die Begrenzung der Anzahl der Range-Header oder die Anwendung von Ratenbegrenzungen. Überwachen Sie die Serverressourcennutzung.
Hauptsächlich Resource-Exhaustion-Angriffe, bei denen der Server durch die Verarbeitung einer großen Anzahl von Anfragen mit mehreren Bereichen überlastet wird und CPU, Speicher, E/A und Bandbreite verbraucht.
Es gibt Tools zur Überwachung der Serverleistung, die ungewöhnliche Spitzen in der Ressourcennutzung erkennen können, was auf einen DoS-Angriff hindeuten könnte. Intrusion Detection Systems (IDS) können ebenfalls konfiguriert werden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Gemfile.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.