Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-4031-1 ruby2.3

Debians sikkerhedsbulletin

DSA-4031-1 ruby2.3 -- sikkerhedsopdatering

Rapporteret den:

11. nov 2017

Berørte pakker:

ruby2.3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 875928, Fejl 875931, Fejl 875936, Fejl 879231.
I Mitres CVE-ordbog: CVE-2017-0898, CVE-2017-0903, CVE-2017-10784, CVE-2017-14033.

Yderligere oplysninger:

Flere sårbarheder er opdaget i fortolkeren af sproget Ruby. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2017-0898

  aerodudrizzt rapporterede om en bufferunderløbssårbarhed i metoden sprintf af modulet Kernel, medførende korruption af heaphukommelsen eller informationsafsløring fra heap.

• CVE-2017-0903

  Max Justicz rapporterede at RubyGems var ramt af en sårbarhed i forbindelse med usikker deserialisering af objekter. Når det blev fortolket af en applikation, der behandler gems, kunne en særligt fremstillet YAML-formateret gem-specifikation føre til fjernudførelse af kode.

• CVE-2017-10784

  Yusuke Endoh opdagede en sårbarhed i forbindelse med indsprøjtning af escapesekvenser i Basic-autentifikationen i WEBrick. En angriber kunne drage nytte af fejlen til at indsprøjte ondsindede escapesekvenser til WEBrick'ens log, samt potentielt udføre kontroltegn i offerets terminalemulator, når der læses logninger.

• CVE-2017-14033

  asac rapporterede om en bufferunderløbssårbarhed i OpenSSL-udvidelsen. En fjernangriber kunne drage nytte af fejlen til at forårsage at Ruby-fortolkeren gik ned, førende til et lammelsesangreb.

I den stabile distribution (stretch), er disse problemer rettet i version 2.3.3-1+deb9u2.

Vi anbefaler at du opgraderer dine ruby2.3-pakker.