Ruby 言語のインタープリタに、複数の問題が発見されました。これらの欠陥を攻 撃することにより、サービス拒否攻撃や他のセキュリティ問題が発生します。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Keita Yamaguchi さんにより、セーフレベルの制限の適用が不十分であるこ とが発見されました。
Christian Neukirchen さんにより、WebRick モジュールが HTTP ヘッダ分割 の際に非効率なアルゴリズムを用いているため、リソース消費によるサービ ス拒否攻撃が可能であることが発見されました。
dl モジュールが taint チェックを行っていないことが発見されました。
Luka Treiber さんと Mitja Kolsek さんにより、再帰ネストされた XML エ ンティティにより、rexml でリソース消費によるサービス拒否攻撃が可能で あることが発見されました。
田中 哲さんにより、resolv モジュールが DNS クエリ時にシーケンシャルな トランザクション ID と、固定ソースポートを用いているため、DNS スプー フィング攻撃が可能であることが発見されました。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.8.5-4etch3 で修正されています。arm 用のパッケージは後日提供します。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 1.8.7.72-1 で修正されています。
直ぐに ruby1.8 パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。