Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-4031-1 ruby2.3

Säkerhetsbulletin från Debian

DSA-4031-1 ruby2.3 -- säkerhetsuppdatering

Rapporterat den:

2017-11-11

Berörda paket:

ruby2.3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 875928, Fel 875931, Fel 875936, Fel 879231.
I Mitres CVE-förteckning: CVE-2017-0898, CVE-2017-0903, CVE-2017-10784, CVE-2017-14033.

Ytterligare information:

Flera sårbarheter har upptäckts i tolken av språket Ruby. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2017-0898

  aerodudrizzt rapporterade en sårbarhet för buffertunderkörning i sprintf-metoden i kärnmodulen som resulterar i heap-minneskorruption eller utlämnande av information från heapen.

• CVE-2017-0903

  Max Justicz rapporterade att RubyGems är sårbar för en osäker objektdeserialisering. Vid tolkning av en applikation som behandlar gems kan en speciellt skapad YAML-formatterad gem-specifikation leda till fjärrkodexekvering.

• CVE-2017-10784

  Yusuke Endoh upptäckte en escape-sekvensinjiceringssårbarhet i Basic autentisering av WEBrick. En angripare kan dra fördel av denna brist för att injicera illasinnade escape-sekvenser till WEBricks logg och potentiellt exekvera kontrolltecken på offrets terminalemulator vid läsning av loggar.

• CVE-2017-14033

  asac rapporterade en buffertunderkörningssårbarhet i OpenSSL-tillägget. En fjärrangripare kan dra fördel av denna brist för att orsaka att Ruby-tolken kraschar vilket leder till överbelastning.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.3.3-1+deb9u2.

Vi rekommenderar att ni uppgraderar era ruby2.3-paket.