प्लेटफ़ॉर्म
ruby
घटक
rack
में ठीक किया गया
2.2.24
3.0.1
3.2.1
2.2.23
CVE-2026-34826 describes a Denial of Service (DoS) vulnerability within the Ruby Rack library's Rack::Utils.getbyteranges function. This flaw allows attackers to exhaust server resources by crafting requests with a large number of overlapping byte range specifications. The vulnerability impacts Rack versions 2.2.9 and earlier, and a fix is available in version 2.2.23.
CVE-2026-34826 Ruby में वेब अनुप्रयोगों के लिए एक मूलभूत घटक Rack gem को प्रभावित करता है। यह भेद्यता Rack::Utils.getbyteranges फ़ंक्शन में है, जो HTTP Range हेडर को आंशिक फ़ाइल डाउनलोड को सक्षम करने के लिए पार्स करता है। एक पिछला फिक्स (CVE-2024-26141) फ़ाइल आकार से अधिक रेंज की समस्या को संबोधित करता है, लेकिन यह व्यक्तिगत रेंज की संख्या को सीमित नहीं करता है। एक हमलावर 0-0,0-0,0-0,... जैसे कई छोटे ओवरलैपिंग रेंज भेजकर CPU, मेमोरी, I/O और बैंडविड्थ सहित सर्वर संसाधनों को अत्यधिक खपत कर सकता है। इससे वेब एप्लिकेशन अनुपलब्ध हो सकता है या बहुत धीमी गति से काम कर सकता है, जिससे सेवा से इनकार (DoS) की स्थिति पैदा हो सकती है।
यह भेद्यता विशेष रूप से वेब अनुप्रयोगों के लिए प्रासंगिक है जो बड़ी फ़ाइलें प्रदान करते हैं और आंशिक डाउनलोड की अनुमति देते हैं। हमलावर इन सर्वरों पर लक्षित DoS हमले शुरू कर सकते हैं, खासकर यदि उन्हें पर्याप्त रूप से सुरक्षित नहीं किया गया है। कई रेंज के साथ अनुरोध उत्पन्न करने में आसानी शोषण को अपेक्षाकृत सरल बनाती है। इस भेद्यता के लिए प्रमाणीकरण की आवश्यकता नहीं होती है, जो इसके जोखिम को बढ़ाता है। CVE-2024-26141 का पिछला फिक्स महत्वपूर्ण है, लेकिन यह इस विशिष्ट मुद्दे के लिए पूर्ण सुरक्षा प्रदान नहीं करता है।
Applications and services utilizing Rack for file serving, particularly those running older versions (≤2.2.9), are at risk. This includes web applications, APIs, and any system relying on Rack to handle HTTP requests and serve files. Shared hosting environments where Rack is used could be particularly vulnerable, as a compromised tenant could potentially impact other users on the same server.
• ruby / server:
ps aux | grep 'Rack::Utils.get_byte_ranges'• generic web:
curl -I 'http://your-rack-app/file.txt?Range=0-0,0-0,0-0,0-0,0-0' | grep 'Server: Rack'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
मुख्य शमन उपाय Rack gem को संस्करण 2.2.23 या उच्चतर में अपडेट करना है। इस संस्करण में Range हेडर में अनुमत रेंज की संख्या को सीमित करने वाला फिक्स शामिल है, जो अत्यधिक संसाधन खपत को रोकता है। यदि तत्काल अपडेट संभव नहीं है, तो Nginx या Apache जैसे वेब सर्वर स्तर पर सुरक्षा उपाय लागू करने पर विचार करें ताकि प्रति अनुरोध Range हेडर की संख्या को सीमित किया जा सके या अनुरोधों पर दर सीमित लागू की जा सके। संभावित DoS हमलों का पता लगाने के लिए सर्वर संसाधन उपयोग की निगरानी करना महत्वपूर्ण है।
Actualice la gema Rack a la versión 2.2.23, 3.1.21 o 3.2.6, o superior, según corresponda a su versión actual. Esto solucionará la vulnerabilidad de denegación de servicio causada por el procesamiento ilimitado de rangos de bytes en las cabeceras HTTP Range.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Rack Ruby पारिस्थितिकी तंत्र में वेब एप्लिकेशन विकास के लिए एक मूलभूत लाइब्रेरी है। यह वेब सर्वरों और Ruby अनुप्रयोगों के बीच एक मानक इंटरफ़ेस प्रदान करता है, जिससे वेब अनुप्रयोगों को बनाना और तैनात करना आसान हो जाता है।
अपने एप्लिकेशन में स्थापित Rack gem के संस्करण की जांच करें। यदि यह 2.2.23 से कम है, तो आप असुरक्षित हैं। आप कमांड लाइन में gem list rack कमांड का उपयोग कर सकते हैं।
वेब सर्वर स्तर पर सुरक्षा उपाय लागू करें, जैसे कि Range हेडर की संख्या को सीमित करना या अनुरोधों पर दर सीमित लागू करना। सर्वर संसाधन उपयोग की निगरानी करें।
मुख्य रूप से संसाधन क्षय हमले, जहां सर्वर कई रेंज के साथ कई अनुरोधों को संसाधित करने से अभिभूत हो जाता है, जिससे CPU, मेमोरी, I/O और बैंडविड्थ की खपत होती है।
कुछ सर्वर प्रदर्शन निगरानी उपकरण हैं जो संसाधन उपयोग में असामान्य स्पाइक्स का पता लगा सकते हैं, जो DoS हमले का संकेत दे सकता है। घुसपैठ का पता लगाने वाले सिस्टम (IDS) को भी कॉन्फ़िगर किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।