Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3157-1 ruby1.9.1

Debians sikkerhedsbulletin

DSA-3157-1 ruby1.9.1 -- sikkerhedsopdatering

Rapporteret den:

9. feb 2015

Berørte pakker:

ruby1.9.1

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-4975, CVE-2014-8080, CVE-2014-8090.

Yderligere oplysninger:

Adskillige sårbarhed blev opdaget i fortolkeren af Ruby-sproget:

• CVE-2014-4975

  Funktionen encodes() i pack.c havde en forskudt med en-fejl, som kunne føre til et stakbaseret bufferoverløb. Det kunne gøre det muligt for fjernangribere, at forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode.

• CVE-2014-8080, CVE-2014-8090

  REXML-fortolkeren kunne blive narret til at allokere store strengobjekter, der kunne forbruge al tilgængelig hukommelse på systemet. Det kunne gøre det muligt for fjernangribere, at forårsage et lammelsesangreb (nedbrud).

I den stabile distribution (wheezy), er disse problemer rettet i version 1.9.3.194-8.1+deb7u3.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 2.1.5-1 af kildekodepakken ruby2.1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.1.5-1 af kildekodepakken ruby2.1.

Vi anbefaler at du opgraderer dine ruby1.9.1-pakker.