CVE-2021-29509 in Puma
Zusammenfassung
von VulDB • 06.06.2026
Puma ist ein paralleler HTTP-1.1-Server für Ruby/Rack-Anwendungen. Die Korrektur für CVE-2019-16770 war unvollständig. Der ursprüngliche Schutz schützte nur bestehende Verbindungen, die bereits akzeptiert wurden, davor, dass deren Anfragen durch gierige persistente Verbindungen verhungern, indem alle Threads im selben Prozess ausgelastet werden. Neue Verbindungen können jedoch weiterhin dadurch verhungern, dass gierige persistente Verbindungen alle Threads in allen Prozessen des Clusters auslasten. Ein `puma`-Server, der mehr gleichzeitige `keep-alive`-Verbindungen empfing, als er Threads im Threadpool hatte, bediente nur eine Teilmenge der Verbindungen und verweigerte den nicht bedienten Verbindungen die Dienstleistung. Dieses Problem wurde in `puma` 4.3.8 und 5.3.1 behoben. Das Setzen von `queue_requests false` behebt das Problem ebenfalls. Dies wird jedoch nicht empfohlen, wenn `puma` ohne einen Reverse-Proxy wie `nginx` oder `apache` verwendet wird, da Sie sich sonst Angriffen durch langsame Clients (z. B. Slowloris) aussetzen würden. Die Korrektur ist sehr klein und ein Git-Patch steht für Benutzer von nicht mehr unterstützten Puma-Versionen zur Verfügung.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.