PT-2024-1926 · Rack+9 · Rack+9

Ooooooo-Q

·

Publicado

2024-02-21

·

Atualizado

2026-03-13

·

CVE-2024-26141

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Rack 1.3.0 a 3.0.9 e 2.2.8.1.
Descrição
O Rack é uma interface modular de servidor web em Ruby. Existe uma vulnerabilidade de negação de serviço (DoS) devido ao tratamento inadequado de cabeçalhos Range. Cabeçalhos Range cuidadosamente criados podem fazer com que o servidor responda com uma resposta inesperadamente grande, levando potencialmente a uma negação de serviço. Aplicativos que utilizam o middleware Rack::File ou os métodos Rack::Utils.byte ranges, incluindo aplicativos Rails, estão vulneráveis.
Recomendações
Atualize para a versão 3.0.9.1 ou 2.2.8.1 do Rack para corrigir essa vulnerabilidade.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2024:2113
ALSA-2024:2953
ALSA-2024_2113
BDU:2024-01714
CESA-2024_2953
CVE-2024-26141
DLA-3800-1
DSA-5698-1
GHSA-XJ5V-6V4G-JFW6
INFSA-2024_2113
INFSA-2024_2953
MGASA-2024-0123
OESA-2024-1820
OESA-2024-1821
OESA-2024-1822
OESA-2024-1823
OPENSUSE-SU-2024:13726-1
OPENSUSE-SU-2024:13727-1
OPENSUSE-SU-2024_0765-1
OPENSUSE-SU-2025:14811-1
OPENSUSE-SU-2025:14875-1
OPENSUSE-SU-2026:10286-1
OPENSUSE-SU-2026:10358-1
RHSA-2024:10806
RHSA-2024:1841
RHSA-2024:1846
RHSA-2024:2007
RHSA-2024:2113
RHSA-2024:2581
RHSA-2024:2584
RHSA-2024:2953
RHSA-2024:3431
RHSA-2024_2113
RHSA-2024_2953
RLSA-2024:2953
SUSE-SU-2024:0765-1
SUSE-SU-2024:0946-1
SUSE-SU-2024:1131-1
USN-6689-1
USN-6837-1
USN-6837-2
USN-7036-1

Produtos afetados

Almalinux
Astra Linux
Centos
Linuxmint
Rack
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu