Vulnerabilidad en conexiones persistentes en RubyGem excon (CVE-2019-16779)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
16/12/2019
Última modificación:
28/10/2021
Descripción
En RubyGem excon versiones anteriores a 0.71.0, se presentó una condición de carrera alrededor de conexiones persistentes, donde una conexión que es interrumpida (tal y como, mediante un tiempo de espera) dejaría datos en el socket. Las peticiones posteriores entonces leerían estos datos y devolverían el contenido de la respuesta anterior. La ventana de condición de carrera parece ser corta, y sería difícil explotar esto a propósito.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:excon_project:excon:*:*:*:*:*:*:*:* | 0.71.0 (excluyendo) | |
| cpe:2.3:a:opensuse:backports_sle:15.0:sp1:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00021.html
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00062.html
- https://github.com/excon/excon/commit/ccb57d7a422f020dc74f1de4e8fb505ab46d8a29
- https://github.com/excon/excon/security/advisories/GHSA-q58g-455p-8vw9
- https://lists.debian.org/debian-lts-announce/2020/01/msg00015.html