CVE-2021-29509 in Puma
요약
\~에 의해 VulDB • 2026. 06. 08.
Puma는 Ruby/Rack 애플리케이션을 위한 동시성 HTTP 1.1 서버입니다. CVE-2019-16770에 대한 수정은 불완전했습니다. 기존 수정은 이미 수락된 기존 연결이 동일한 프로세스의 모든 스레드를 포화시키는 탐욕스러운 지속적 연결(persistent-connections)에 의해 요청이 기아 상태에 빠지는 것을 보호하는 데만 국한되었습니다. 그러나 클러스터 내 모든 프로세스의 모든 스레드를 포화시키는 탐욕스러운 지속적 연결에 의해 새로운 연결이 여전히 기아 상태에 빠질 수 있습니다. 스레드 풀의 스레드 수보다 많은 동시 `keep-alive` 연결을 수신한 `puma` 서버는 연결의 일부만 처리하며, 처리되지 않은 연결에 대한 서비스를 거부합니다. 이 문제는 `puma` 4.3.8 및 5.3.1에서 수정되었습니다. `queue_requests false`를 설정하는 것도 문제를 해결합니다. 그러나 `nginx` 또는 `apache`와 같은 리버스 프록시 없이 `puma`를 사용할 경우 느린 클라이언트 공격(예: slowloris)에 노출되므로 이 방법은 권장되지 않습니다. 수정 내용은 매우 작으며, 지원되지 않는 버전의 Puma를 사용하는 사용자를 위해 git 패치가 제공됩니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.