Информация по безопасности / 2017 / Информация о безопасности -- DSA-4031-1 ruby2.3

Рекомендация Debian по безопасности

DSA-4031-1 ruby2.3 -- обновление безопасности

Дата сообщения:

11.11.2017

Затронутые пакеты:

ruby2.3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 875928, Ошибка 875931, Ошибка 875936, Ошибка 879231.
В каталоге Mitre CVE: CVE-2017-0898, CVE-2017-0903, CVE-2017-10784, CVE-2017-14033.

Более подробная информация:

В интерпретаторе языка Ruby было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2017-0898

  aerodudrizzt сообщил о выходе за границы выделенного буфера памяти в методе sprintf модуля ядра, который приводит к повреждению содержимого динамической памяти или раскрытию информации, хранящейся в динамической памяти.

• CVE-2017-0903

  Макс Джастич сообщил, что система RubyGems уязвима к небезопасной десериализации объекта. Грамматический разбор специально сформированной спецификации модуля в формате YAML, выполняемый приложением, обрабатывающим модули, может приводить к удалённому выполнению кода.

• CVE-2017-10784

  Юсуке Эндо обнаружил ввод экранирующей последовательности в базовой аутентификации WEBrick. Злоумышленник может использовать эту уязвимость для введения вредоносных экранирующих последовательностей в журнал WEBrick и потенциального выполнения управляющих символов в эмуляторе терминала жертвы при чтении журналов.

• CVE-2017-14033

  asac сообщил о выходе за границы выделенного буфера памяти в расширении OpenSSL. Удалённый злоумышленник может использовать эту уязвимость для вызова аварийной остановки интерпретатора Ruby, что приводит к отказу в обслуживании.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.3.3-1+deb9u2.

Рекомендуется обновить пакеты ruby2.3.