Bulletin d'alerte Debian

DSA-4031-1 ruby2.3 -- Mise à jour de sécurité

Date du rapport :

11 novembre 2017

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 875928, Bogue 875931, Bogue 875936, Bogue 879231.
Dans le dictionnaire CVE du Mitre : CVE-2017-0898, CVE-2017-0903, CVE-2017-10784, CVE-2017-14033.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2017-0898
aerodudrizzt a signalé une vulnérabilité de sous-exécution de tampon dans la méthode sprintf du module du noyau avec pour conséquence une corruption de mémoire de tas ou une divulgation d'informations à partir du tas.
CVE-2017-0903
Max Justicz a signalé que RubyGems est prédisposé à une vulnérabilité de désérialisation d'objet non sûre. Lors de son analyse par une application qui traite des « gems », une spécification de gem au format YAML contrefaite pour l'occasion peut conduire à l'exécution de code distant.
CVE-2017-10784
Yusuke Endoh a découvert une vulnérabilité d'injection de séquence d'échappement dans l'authentification basique de WEBrick. Un attaquant peut tirer avantage de ce défaut pour injecter des séquences d'échappement malveillantes dans le journal de WEBrick et éventuellement exécuter des caractères de contrôle sur l'émulateur de terminal de la victime lors de la lecture de journaux.
CVE-2017-14033
asac a signalé une vulnérabilité de sous-exécution de tampon dans l'extension OpenSSL. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le plantage de l'interpréteur Ruby menant à un déni de service.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.3.3-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets ruby2.3.