Rack - это модульный интерфейс веб-сервера Ruby. В версиях до 2.2.19, 3.1.17 и 3.2.2, `Rack::Multipart::Parser` хранит поля non-File form (…

Rack - это модульный интерфейс веб-сервера Ruby. В версиях до 2.2.19, 3.1.17 и 3.2.2, `Rack::Multipart::Parser` хранит поля non-File form (части без имени файла) полностью в памяти как Ruby `String` объекты. Одно большое текстовое поле в запросе на многочастные/формальные данные (сотни мегабайт или более) может потреблять эквивалентную память процесса, что потенциально может привести к условиям вне памяти (OOM) и отказу в обслуживании (DoS). Злоумышленники могут отправлять большие нефайловые поля, чтобы вызвать чрезмерное использование памяти. Ударные весы с размером запроса и параллельностью, что может привести к сбоям рабочих или тяжелым накладным сбором мусора. Затрагиваются все заявки на обработку многочастных форм. Версии 2.2.19, 3.1.17 и 3.2.2 обеспечивают соблюдение допустимого ограничения размера для нефайловых полей (например, 2 МиБ). Пространства включают ограничение максимального размера тела запроса на веб-сервере или прокси-слое (например, Nginx `client_max_body_size`) и проверку и отклонение необычно больших полей формы на уровне приложения.