CVE-2021-29509 in Pumainfo

Zusammenfassung

von VulDB • 06.06.2026

Puma ist ein paralleler HTTP-1.1-Server für Ruby/Rack-Anwendungen. Die Korrektur für CVE-2019-16770 war unvollständig. Der ursprüngliche Schutz schützte nur bestehende Verbindungen, die bereits akzeptiert wurden, davor, dass deren Anfragen durch gierige persistente Verbindungen verhungern, indem alle Threads im selben Prozess ausgelastet werden. Neue Verbindungen können jedoch weiterhin dadurch verhungern, dass gierige persistente Verbindungen alle Threads in allen Prozessen des Clusters auslasten. Ein `puma`-Server, der mehr gleichzeitige `keep-alive`-Verbindungen empfing, als er Threads im Threadpool hatte, bediente nur eine Teilmenge der Verbindungen und verweigerte den nicht bedienten Verbindungen die Dienstleistung. Dieses Problem wurde in `puma` 4.3.8 und 5.3.1 behoben. Das Setzen von `queue_requests false` behebt das Problem ebenfalls. Dies wird jedoch nicht empfohlen, wenn `puma` ohne einen Reverse-Proxy wie `nginx` oder `apache` verwendet wird, da Sie sich sonst Angriffen durch langsame Clients (z. B. Slowloris) aussetzen würden. Die Korrektur ist sehr klein und ein Git-Patch steht für Benutzer von nicht mehr unterstützten Puma-Versionen zur Verfügung.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub, Inc.

Reservieren

30.03.2021

Veröffentlichung

12.05.2021

Moderieren

akzeptiert

Eintrag

VDB-174876

CPE

bereit

EPSS

0.01599

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!