Puma 注入漏洞

CNNVD-ID编号	CNNVD-202002-1298
CVE编号	CVE-2020-5247
发布时间	2020-02-28
更新时间	2020-11-10
漏洞类型	注入
漏洞来源	N/A
危险等级	高危
威胁类型	远程
厂商	N/A

漏洞介绍

Puma是一款针对高并发应用的Web服务器。

Puma (RubyGem) 4.3.2之前版本和3.12.2之前版本中存在注入漏洞。攻击者可通过使用换行符（例如CR，LF，/ r或 / n）利用该漏洞结束标头并注入恶意内容。

漏洞补丁

目前厂商已发布升级了Puma 注入漏洞的补丁，Puma 注入漏洞的补丁获取链接：

https://github.com/puma/puma/security/advisories/GHSA-84j7-475p-hp8v

参考网址

来源:http-response-splitting-in-webrick-cve-2019-16254

链接：http-response-splitting-in-webrick-cve-2019-16254
来源:MISC

链接：https://www.ruby-lang.org/en/news/2019/10/01/
来源:MISC

链接：https://owasp.org/www-community/attacks/HTTP_Response_Splitting
来源:FEDORA

链接：https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DIHVO3CQMU7BZC7FCTSRJ33YDNS3GFPK/
来源:CONFIRM

链接：https://github.com/puma/puma/security/advisories/GHSA-84j7-475p-hp8v
来源:FEDORA

链接：https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NJ3LL5F5QADB6LM46GXZETREAKZMQNRD/
来源:FEDORA

链接：https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BMJ3CGZ3DLBJ5WUUKMI5ZFXFJQMXJZIK/
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/RubyGem-Puma-information-disclosure-via-Newline-Response-Splitting-31986
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.1405/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.1638/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.2571/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3691/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3928/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3841/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202002-1298

行业资讯-文章归档问答-问答归档