Platform
ruby
Component
puma
Opgelost in
3.12.2
4.3.1
3.12.2
CVE-2019-16770 beschrijft een Denial of Service (DoS) kwetsbaarheid in de Puma Ruby web server. Een kwaadwillende client kan keepalive-verzoeken misbruiken om de reactor van Puma te overbelasten, wat resulteert in een denial of service. Deze kwetsbaarheid treft versies van Puma tot en met 3.9.1. Een patch is beschikbaar in Puma 3.12.2 en 4.3.1.
Deze kwetsbaarheid stelt een aanvaller in staat om een denial of service aan te vallen op Puma web servers. Door een groot aantal keepalive-verzoeken te versturen, kan de aanvaller alle beschikbare threads in Puma monopoliseren. Nieuwe verbindingen zullen dan permanent in de wachtrij staan, omdat er geen threads meer beschikbaar zijn om ze te verwerken. Dit kan leiden tot een complete uitval van de web server, waardoor legitieme gebruikers geen toegang meer hebben tot de applicatie. De impact is aanzienlijk, met name voor applicaties die afhankelijk zijn van Puma voor het afhandelen van webverkeer.
Deze kwetsbaarheid is publiekelijk bekend en er zijn geen bekende actieve campagnes gerapporteerd. Er zijn geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. De publicatiedatum van de CVE is 2019-12-05.
Exploit Status
EPSS
1.59% (82% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Puma naar versie 3.12.2 of hoger, of naar versie 4.3.1. Als een directe upgrade niet mogelijk is, kan een reverse proxy (zoals Nginx of Apache) worden geconfigureerd om het aantal keepalive-verbindingen naar Puma te beperken tot minder dan het aantal beschikbare threads. Monitor Puma's thread-gebruik en stel alerts in voor ongebruikelijk hoog verbruik. Het implementeren van rate limiting op de reverse proxy kan ook helpen om de impact van een DoS-aanval te verminderen. Na de upgrade, controleer de Puma logs op onverwachte fouten of prestatieproblemen.
Actualice la gema Puma a la versión 4.3.1 o superior, o a la versión 3.12.2 o superior. Esto solucionará la vulnerabilidad de denegación de servicio causada por clientes maliciosos que monopolizan el reactor de Puma con solicitudes keepalive. Ejecute `gem update puma` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-16770 is a Denial of Service vulnerability in Puma versions up to 3.9.1. A malicious client can overwhelm Puma's reactor with keepalive requests, causing a denial of service.
You are affected if you are running Puma version 3.9.1 or earlier. Check your Puma version using puma -v.
Upgrade to Puma version 4.3.1 or 3.12.2. As a temporary workaround, configure a reverse proxy to limit keepalive connections.
There is currently no evidence of CVE-2019-16770 being actively exploited in the wild.
Refer to the Puma security advisory for details: https://github.com/puma/puma/security/advisories/GHSA-5g43-x455-744g
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.