Уязвимость CVE-2024-26144: Информация

Описание

Rails is a web-application framework. Starting with version 5.2.0, there is a possible sensitive session information leak in Active Storage. By default, Active Storage sends a Set-Cookie header along with the user's session cookie when serving blobs. It also sets Cache-Control to public. Certain proxies may cache the Set-Cookie, leading to an information leak. The vulnerability is fixed in 7.0.8.1 and 6.1.7.7.

URL: https://nvd.nist.gov/vuln/detail/CVE-2024-26144

Опубликовано: 27 февраля 2024 г.

Изменено: 28 февраля 2024 г.

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
gem-rails	sisyphus	6.1.7.7-alt1	6.1.7.7-alt1	ALT-PU-2024-7877-1	344821	Исправлено
gem-rails	sisyphus_e2k	6.1.7.7-alt1	6.1.7.7-alt1	ALT-PU-2024-7997-1	-	Исправлено
gem-rails	sisyphus_loongarch64	6.1.7.7-alt1	6.1.7.7-alt1	ALT-PU-2024-7950-1	-	Исправлено
gem-rails	p11	6.1.7.7-alt1	6.1.7.7-alt1	ALT-PU-2024-7877-1	344821	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://github.com/rails/rails/security/advisories/GHSA-8h22-8cf7-hq6g
https://github.com/rails/rails/commit/723f54566023e91060a67b03353e7c03e7436433
https://github.com/rails/rails/commit/78fe149509fac5b05e54187aaaef216fbb5fd0d3
https://discuss.rubyonrails.org/t/possible-sensitive-session-information-leak-in-active-storage/84945
https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activestorage/CVE-2024-26144.yml

Версия: v24.5.3

Наверх