Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3157-1 ruby1.9.1

Säkerhetsbulletin från Debian

DSA-3157-1 ruby1.9.1 -- säkerhetsuppdatering

Rapporterat den:

2015-02-09

Berörda paket:

ruby1.9.1

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-4975, CVE-2014-8080, CVE-2014-8090.

Ytterligare information:

Flera sårbarheter har upptäckts i tolken för språket Ruby:

• CVE-2014-4975

  Funktionen encodes() i pack.c hade ett fel med ett som kunde leda till ett stackbaserat buffertspill. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch) eller körning av godtycklig kod.

• CVE-2014-8080, CVE-2014-8090

  Tolken av REXML kunde tvingas att allokera stora strängobjekt som kunde konsumera allt tillgängligt minne på systemet. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch).

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.9.3.194-8.1+deb7u3.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 2.1.5-1 av källkodspaketet ruby2.1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.1.5-1 av källkodspaketet ruby2.1.

Vi rekommenderar att ni uppgraderar era ruby1.9.1-paket.