Rack - это модульный интерфейс веб-сервера Ruby. В версиях до 2.2.19, 3.1.17 и 3.2.2, `Rack::Multipart::Parser` буферизует всю многокомпоне…

Rack - это модульный интерфейс веб-сервера Ruby. В версиях до 2.2.19, 3.1.17 и 3.2.2, `Rack::Multipart::Parser` буферизует всю многокомпонентную преамбулу (байты перед первой границей) в памяти без какого-либо ограничения по размеру. Клиент может отправить большую преамбулу с последующей действительной границей, вызывая значительное использование памяти и потенциальное прекращение процесса из-за условий вне памяти (OOM). Удаленные злоумышленники могут вызвать большие временные всплески памяти, включив длинную преамбулу в запросы multipart/form-data. Весы ударов с разрешенными размерами запросов и конкуличенностью, что может привести к сбоям рабочих или сильному замедлению из-за сбора мусора. Версии 2.2.19, 3.1.17 и 3.2.2 обеспечивают соблюдение предельного размера преамбулы (например, 16 KiB) или полностью отбрасывание данных преамбулы. Процедуры включают ограничение общего размера тела запроса на уровне прокси или веб-сервера и мониторинг памяти и устанавливают ограничения по процессу для предотвращения условий OOM.