Aviso de seguridad de Debian

DSA-4031-1 ruby2.3 -- actualización de seguridad

Fecha del informe:

11 de nov de 2017

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 875928, error 875931, error 875936, error 879231.
En el diccionario CVE de Mitre: CVE-2017-0898, CVE-2017-0903, CVE-2017-10784, CVE-2017-14033.

Información adicional:

Se han descubierto varias vulnerabilidades en el intérprete del lenguaje de programación Ruby. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

CVE-2017-0898
aerodudrizzt informó de una vulnerabilidad de subdesbordamiento de «buffer» en el método sprintf del módulo Kernel, que da lugar a corrupción de la memoria dinámica («heap») o a revelación de información de la memoria dinámica.
CVE-2017-0903
Max Justicz informó de que RubyGems es propenso a una vulnerabilidad de reconstrucción insegura de datos serializados. Una especificación de gem con formato YAML manipulada de una manera determinada puede dar lugar a ejecución de código remoto cuando la analiza sintácticamente una aplicación que procesa gems.
CVE-2017-10784
Yusuke Endoh descubrió una vulnerabilidad de inyección de secuencia de escape en la autenticación «Basic» de WEBrick. Un atacante puede aprovechar este defecto para inyectar secuencias de escape maliciosas en el log de WEBrick y, potencialmente, ejecutar caracteres de control en el emulador de terminal de la víctima cuando lea logs.
CVE-2017-14033
asac informó de una vulnerabilidad de subdesbordamiento de «buffer» en la extensión OpenSSL. Un atacante remoto puede aprovechar este defecto para provocar la caída del intérprete de Ruby, dando lugar a denegación de servicio.

Para la distribución «estable» (stretch), estos problemas se han resuelto en la versión 2.3.3-1+deb9u2.

Le recomendamos que actualice los paquetes de ruby2.3.