Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3157-1 ruby1.9.1

Bulletin d'alerte Debian

DSA-3157-1 ruby1.9.1 -- Mise à jour de sécurité

Date du rapport :

9 février 2015

Paquets concernés :

ruby1.9.1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-4975, CVE-2014-8080, CVE-2014-8090.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby :

• CVE-2014-4975

  La fonction encodes() dans pack.c avait une erreur due à un décalage d'entier qui pouvait conduire à un dépassement de pile. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou l'exécution de code arbitraire.

• CVE-2014-8080, CVE-2014-8090

  L'analyseur REXML pourrait être contraint d'allouer des gros objets de type chaîne de caractères qui pourraient utiliser toute la mémoire disponible du système. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage).

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.9.3.194-8.1+deb7u3.

Pour la distribution stable à venir (Jessie), ces problèmes ont été corrigés dans la version 2.1.5-1 du paquet source ruby2.1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.1.5-1 du paquet source ruby2.1.

Nous vous recommandons de mettre à jour vos paquets ruby1.9.1.