Noch kein Nutzer?
Anmelden Kostenlos registrieren Produkt vorschlagen
Update

USN-8182-1: Rack-Schwachstellen

Ubuntu DesktopUbuntu Desktop
Canonical

USN-8182-1: Sicherheitslücken im Rack

Veröffentlichungsdatum: 17. April 2026
Übersicht: Mehrere Sicherheitsprobleme wurden in Rack behoben.

Pakete
ruby-rack - modulare Ruby-Webserver-Schnittstelle

Details
Andrew Lacambra entdeckte, dass Rack bestimmte reguläre Ausdrücke nicht richtig
Ausdrücke parst. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um Netzwerk
Sicherheitsfilter zu umgehen. Dieses Problem betrifft nur Ubuntu 20.04 LTS, Ubuntu 22.04
LTS, Ubuntu 24.04 LTS, und Ubuntu 25.10. (CVE-2026-26961)

William T. Nelson entdeckte, dass Rack mehrteilige Header nicht
nicht richtig handhabt. Ein Angreifer könnte dieses Problem ausnutzen, um nachgeschaltete
Parsing-Probleme oder einen Denial-of-Service auslösen. Dieses Problem betraf nur Ubuntu
25.10. (CVE-2026-26962)

Es wurde entdeckt, dass Rack den Forwarded-Header nicht korrekt behandelt.
Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um Header-Werte zu manipulieren. Dieses
Problem betraf nur Ubuntu 25.10. (CVE-2026-32762)

Es wurde entdeckt, dass Rack bei der Verarbeitung bestimmter Accept-Encoding-Werte übermäßig viel CPU verbrauchen
bestimmten Accept-Encoding-Werten. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen
um einen Denial-of-Service auszulösen. (CVE-2026-34230)

Haruki Oyama entdeckte, dass bestimmte Konfigurationen von Rack
fälschlicherweise den angezeigten Verzeichnispfad nicht ableiten und den
vollständigen Dateisystem-Pfad. Ein Angreifer könnte dieses Problem möglicherweise nutzen, um
Details wie Layout und Benutzernamen offenlegen. (CVE-2026-34763)

Es wurde entdeckt, dass Rack statische Dateipfade nicht richtig behandelt. Ein
Angreifer könnte dieses Problem möglicherweise ausnutzen, um ungewollt bereitgestellte
Daten. (CVE-2026-34785)

Haruki Oyama entdeckte, dass Rack keine Header-Regeln auf bestimmte
Anforderungen für URL-kodierte statische Pfade anwendet. Ein Angreifer könnte dieses Problem möglicherweise nutzen
Problem nutzen, um sicherheitsrelevante Antwort-Header zu umgehen. Dieses Problem betrifft nur
Ubuntu 18.04 LTS, Ubuntu 20.04 LTS, Ubuntu 22.04 LTS, Ubuntu 24.04
LTS, und Ubuntu 25.10. (CVE-2026-34786)

Es wurde entdeckt, dass Rack die Anzahl der im Range-Header angeforderten Bereiche nicht
dem Range-Header nicht begrenzt. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen
Dienstverweigerung verursachen. Dieses Problem betraf nur Ubuntu 16.04 LTS, Ubuntu 18.04
LTS, Ubuntu 20.04 LTS, Ubuntu 22.04 LTS, Ubuntu 24.04 LTS und Ubuntu
25.10. (CVE-2026-34826)

Es wurde festgestellt, dass Rack beim Parsen bestimmter Multipart-Parameter übermäßig viel CPU
bestimmten mehrteiligen Parametern. Ein Angreifer könnte dies möglicherweise ausnutzen, um einen
einen Denial-of-Service auslösen. Dieses Problem betraf nur Ubuntu 25.10.
(CVE-2026-34827)

Es wurde entdeckt, dass Rack unbegrenzten Speicherplatz verbrauchen konnte, wenn
Anfragen ohne Content-Length-Header behandelt. Ein Angreifer könnte
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service auszulösen. Dieses Problem betrifft nur
Ubuntu 20.04 LTS, Ubuntu 22.04 LTS, Ubuntu 24.04 LTS und Ubuntu 25.10 betroffen.
25.10. (CVE-2026-34829)

Mehtab Zafar entdeckte, dass Rack direkt den X-Accel-Mapping
Header als regulären Ausdruck interpretierte, ohne ihn zu escapen. Ein Angreifer könnte möglicherweise
Angreifer dieses Problem ausnutzen, um beliebige Dateien von internen Speicherorten zu exfiltrieren. Dieses
Problem betraf nur Ubuntu 16.04 LTS, Ubuntu 18.04 LTS, Ubuntu 20.04 LTS,
Ubuntu 22.04 LTS, Ubuntu 24.04 LTS, und Ubuntu 25.10. (CVE-2026-34830)

Es wurde entdeckt, dass Rack Nachrichten mit Unicode nicht richtig behandelt.
Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service auszulösen.
Dieses Problem betraf nur Ubuntu 22.04 LTS, Ubuntu 24.04 LTS und Ubuntu
25.10. (CVE-2026-34831)

Es wurde entdeckt, dass Rack den Host-Header nicht richtig parst. Ein
Angreifer könnte dieses Problem möglicherweise nutzen, um Sicherheitsfilter zu umgehen oder
Links zu vergiften. Dieses Problem betraf nur Ubuntu 25.10. (CVE-2026-34835)

Anweisungen zur Aktualisierung
Nach einer Standard-Systemaktualisierung müssen Sie alle Anwendungen, die Rack verwenden, neu starten, damit alle notwendigen Änderungen vorgenommen werden.

Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

  • 25.10 questing ruby-rack - 3.1.16-0.1ubuntu0.3
  • 24.04 LTS noble ruby-rack - 2.2.7-1ubuntu0.7
  • 22.04 LTS jammy ruby-rack - 2.1.4-5ubuntu1.2+esm3
  • 20.04 LTS focal ruby-rack - 2.0.7-2ubuntu0.1+esm10
  • 18.04 LTS bionisch ruby-rack - 1.6.4-4ubuntu0.2+esm10
  • 16.04 LTS xenial ruby-rack - 1.6.4-3ubuntu0.2+esm10
  • 14.04 LTS trusty librack-ruby - 1.5.2-3+deb8u3ubuntu1~esm11
  • librack-ruby1.8 - 1.5.2-3+deb8u3ubuntu1~esm11
  • librack-ruby1.9.1 - 1.5.2-3+deb8u3ubuntu1~esm11
  • ruby-rack - 1.5.2-3+deb8u3ubuntu1~esm11
Weitere UpdatesZum Produkt
Der Hersteller Canonical hat sein devicebase Profil noch nicht eingerichtet. Inhalte wie Updates, Kompatibilitäten und Support werden unter Umständen nur verzögert gepflegt.
Erhalten Sie wichtige Update-Nachrichten Bleiben Sie auf dem Laufenden für kommende Canonical Updates

Mehr aus dem Bereich Betriebssysteme

Waren die Inhalte für Sie hilfreich?

Anzeige Hier werben?
Udemy IT certification ad