Debians sikkerhedsbulletin
DSA-4332-1 ruby2.3 -- sikkerhedsopdatering
- Rapporteret den:
- 3. nov 2018
- Berørte pakker:
- ruby2.3
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2018-16395, CVE-2018-16396.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i fortolkeren af Ruby-sproget. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2018-16395
Tyler Eckstein rapporterede at lighedskontrollen i OpenSSL::X509::Name, kunne returnere true for objekter der ikke er ligmed med. Hvis et ondsindet X.509-certifikat overføres til sammenligning med et eksisterende certifikat, var der mulighed for at de fejlagtigt blev vurderet som værende ens.
- CVE-2018-16396
Chris Seaton opdagede at tainted flags ikke blev ført videre i Array#pack og String#unpack, med visse parametre.
I den stabile distribution (stretch), er disse problemer rettet i version 2.3.3-1+deb9u4.
Vi anbefaler at du opgraderer dine ruby2.3-pakker.
For detaljeret sikkerhedsstatus vedrørende ruby2.3, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/ruby2.3
- CVE-2018-16395