CVE-2024-39316

Versões do Rack 3.1.0 a 3.1.4

Versões do Rack anteriores à 2.0.9.4

Versões do Rack anteriores à 2.1.4.4

Versões do Rack anteriores à 2.2.8.1

Versões do Rack anteriores à 3.0.9.1

Existe uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) no módulo Rack::Request::Helpers ao analisar cabeçalhos HTTP Accept. Essa vulnerabilidade pode ser explorada por um invasor enviando cabeçalhos Accept-Encoding ou Accept-Language especialmente criados, fazendo com que o servidor gaste tempo excessivo processando a solicitação e levando a uma Negação de Serviço (DoS).

Para as versões do Rack 3.1.0 a 3.1.4, atualize para a versão 3.1.5 para receber a correção.

Para versões do Rack anteriores à 2.0.9.4, aplique o patch 2-0-header-redos.patch ou atualize para a versão 2.0.9.4.

Para versões do Rack anteriores à 2.1.4.4, aplique o patch 2-1-header-redos.patch ou atualize para a versão 2.1.4.4.

Para versões do Rack anteriores à 2.2.8.1, aplique o patch 2-2-header-redos.patch ou atualize para a versão 2.2.8.1.

Para versões do Rack anteriores à 3.0.9.1, aplique o patch 3-0-header-redos ou atualize para a versão 3.0.9.1.

Como solução temporária, considere restringir o acesso ao módulo Rack::Request::Helpers até que um patch esteja disponível.

Evite usar os cabeçalhos Accept-Encoding e Accept-Language nos pontos de extremidade da API afetados até que o problema seja resolvido.