2023年1月18日にRuby on Railsの脆弱性[1]とは別にRackの脆弱性が公表されました。 どれもReDoSの問題であり、CVE-2022-44571とCVE-2022-44572は以下の特徴により危険性がとても高いです。 multipartの解析部分での問題であり、数MBの文字列を攻撃に利用可能 RailsがHTTPリクエストを受け付けた際に呼び出される 呼び出しの際に認証が不要 殆どのRailsサーバが影響を受ける CVE-2022-44572は短い文字列で攻撃可能でPoCでは326byteの文字列で0.3秒の実行時間、416byteで22秒でした。1MBを超える文字列が攻撃として送信された場合の実行時間は1日以上になることが予想されます。 Rackのバージョンを2.0.9.2, 2.1.4.2, 2.2.6.2, 3.0.4.1のいずれかに更新することで解決します。[2