Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4332-1 ruby2.3

Bulletin d'alerte Debian

DSA-4332-1 ruby2.3 -- Mise à jour de sécurité

Date du rapport :

3 novembre 2018

Paquets concernés :

ruby2.3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-16395, CVE-2018-16396.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2018-16395

  Tyler Eckstein a signalé que la vérification d'égalité de OpenSSL::X509::Name pourrait renvoyer une valeur vraie pour des objets non égaux. Si un certificat X.509 malveillant est soumis pour comparaison à un certificat existant, il y a une possibilité qu'ils soient estimés comme égaux de façon incorrecte.

• CVE-2018-16396

  Chris Seaton a découvert que les indications de souillure n'étaient pas propagées dans Array#pack et String#unpack avec certaines directives.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.3.3-1+deb9u4.

Nous vous recommandons de mettre à jour vos paquets ruby2.3.

Pour disposer d'un état détaillé sur la sécurité de ruby2.3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby2.3.