<p>2023年1月18日にRuby on Railsの脆弱性<sup class="footnote-ref"><a href="#fn-ebd1-1" id="fnref-ebd1-1">[1]</a></sup>とは別にRackの脆弱性が公表されました。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__2cc607cc58a59" src="https://embed.zenn.studio/card#zenn-embedded__2cc607cc58a59" data-content="https%3A%2F%2Fdiscuss.rubyonrails.org%2Ft%2Fcve-2022-44570-possible-denial-of-service-vulnerability-in-racks-range-header-parsing%2F82125" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://discuss.rubyonrails.org/t/cve-2022-44570-possible-denial-of-service-vulnerability-in-racks-range-header-parsing/82125" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://discuss.rubyonrails.org/t/cve-2022-44570-possible-denial-of-service-vulnerability-in-racks-range-header-parsing/82125</a></p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__7d469721f8b0f" src="https://embed.zenn.studio/card#zenn-embedded__7d469721f8b0f" data-content="https%3A%2F%2Fdiscuss.rubyonrails.org%2Ft%2Fcve-2022-44571-possible-denial-of-service-vulnerability-in-rack-content-disposition-parsing%2F82126" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://discuss.rubyonrails.org/t/cve-2022-44571-possible-denial-of-service-vulnerability-in-rack-content-disposition-parsing/82126" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://discuss.rubyonrails.org/t/cve-2022-44571-possible-denial-of-service-vulnerability-in-rack-content-disposition-parsing/82126</a></p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__37952ccc2b29f" src="https://embed.zenn.studio/card#zenn-embedded__37952ccc2b29f" data-content="https%3A%2F%2Fdiscuss.rubyonrails.org%2Ft%2Fcve-2022-44572-possible-denial-of-service-vulnerability-in-racks-rfc2183-boundary-parsing%2F82124" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://discuss.rubyonrails.org/t/cve-2022-44572-possible-denial-of-service-vulnerability-in-racks-rfc2183-boundary-parsing/82124" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://discuss.rubyonrails.org/t/cve-2022-44572-possible-denial-of-service-vulnerability-in-racks-rfc2183-boundary-parsing/82124</a></p>
<p>どれもReDoSの問題であり、CVE-2022-44571とCVE-2022-44572は以下の特徴により危険性がとても高いです。</p>
<ul>
<li>multipartの解析部分での問題であり、数MBの文字列を攻撃に利用可能</li>
<li>RailsがHTTPリクエストを受け付けた際に呼び出される</li>
<li>呼び出しの際に認証が不要</li>
<li>殆どのRailsサーバが影響を受ける</li>
</ul>
<p>CVE-2022-44572は短い文字列で攻撃可能でPoCでは326byteの文字列で0.3秒の実行時間、416byteで22秒でした。1MBを超える文字列が攻撃として送信された場合の実行時間は1日以上になることが予想されます。</p>
<p>Rackのバージョンを2.0.9.2, 2.1.4.2, 2.2.6.2, 3.0.4.1のいずれかに更新することで解決します。<sup class="footnote-ref"><a href="#fn-ebd1-2" id="fnref-ebd1-2">[2]</a></sup></p>
<hr>
<h4 id="%E8%A3%9C%E8%B6%B3">
<a class="header-anchor-link" href="#%E8%A3%9C%E8%B6%B3" aria-hidden="true"></a> 補足</h4>
<p>Rubyを3.2.0に更新していた場合は、CVE-2022-44571はReDoSにならないのですが、CVE-2022-44572ではReDoSが発生します。Regexp.timeoutが設定されている場合は設定値でエラーが発生するので影響は緩和されます。(<a href="https://zenn.dev/ooooooo_q/articles/ruby_3_2_redos" target="_blank">https://zenn.dev/ooooooo_q/articles/ruby_3_2_redos</a>)</p>
<p>Unicornをサーバとして利用している場合は<a href="https://yhbt.net/unicorn/Application_Timeouts.html" target="_blank" rel="nofollow noopener noreferrer">Unicornのタイムアウト</a>が発生します。応答しない状態が続いてた場合にインフラ側で自動対応するようにしていることもあるかもしれません。どちらの場合も緩和策として有効ですが、攻撃側がworker数を超えるリクエストを送り続けている場合はサーバとしては応答しにくい状況が続きます。</p>
<p>GitHub Advisory DatabaseではSeverityが <code>low</code> と設定されていますが、過去の脆弱性で影響範囲が全く同じものであるCVE-2022-30122では <code>High</code> と設定されています。(<a href="https://github.com/advisories/GHSA-rqv2-275x-2jq5" target="_blank" rel="nofollow noopener noreferrer">https://github.com/advisories/GHSA-rqv2-275x-2jq5</a>, <a href="https://github.com/advisories/GHSA-hxqx-xwvh-44m2" target="_blank" rel="nofollow noopener noreferrer">https://github.com/advisories/GHSA-hxqx-xwvh-44m2</a>)</p>
<section class="footnotes">
<span class="footnotes-title">脚注</span>
<ol class="footnotes-list">
<li id="fn-ebd1-1" class="footnote-item">
<p><a href="https://rubyonrails.org/2023/1/17/Rails-Versions-6-0-6-1-6-1-7-1-7-0-4-1-have-been-released" target="_blank" rel="nofollow noopener noreferrer">https://rubyonrails.org/2023/1/17/Rails-Versions-6-0-6-1-6-1-7-1-7-0-4-1-have-been-released</a> <a href="#fnref-ebd1-1" class="footnote-backref">↩︎</a></p>
</li>
<li id="fn-ebd1-2" class="footnote-item">
<p>2.2.6.1にはCVE-2022-44570の修正が含まれていない <a href="https://github.com/rack/rack/blob/v2.2.6.2/CHANGELOG.md" target="_blank" rel="nofollow noopener noreferrer">https://github.com/rack/rack/blob/v2.2.6.2/CHANGELOG.md</a> <a href="#fnref-ebd1-2" class="footnote-backref">↩︎</a></p>
</li>
</ol>
</section>


Rackの脆弱性対応を! (CVE-2022-44570,CVE-2022-44571,CVE-2022-44572)

Spring_MT

ooooooo_q

<p>ありがとうございます。修正しました。</p>


Discussion