Debians sikkerhedsbulletin

DSA-2738-1 ruby1.9.1 -- flere sårbarheder

Rapporteret den:
18. aug 2013
Berørte pakker:
ruby1.9.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 702525, Fejl 714543.
I Mitres CVE-ordbog: CVE-2013-1821, CVE-2013-4073.
Yderligere oplysninger:

Flere sårbarheder er opdaget i fortolken til sproget Ruby, hvilket kunne føre til lammelsesangreb (denial of service) og andre sikkerhedsproblemer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-1821

    Ben Murphy opdagede at ubegrænset entitetsudvidelse i REXML, kunne føre til et lammelsesangreb, ved at opbruge al værtsmaskinens hukommelse.

  • CVE-2013-4073

    William (B.J.) Snow Orvis opdagede en sårbarhar i værtsnavnkontrollen i Rubys SSL-klient, hvilket kunne gøre det muligt for manden i midten-angrebere, at forfalske SSL-servere ved hjælp af et gyldigt certifikat udstedt af en certificeringsmyndighed, der er tillid til.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.9.2.0-2+deb6u1.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.9.3.194-8.1+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.9.3.194-8.2.

Vi anbefaler at du opgraderer dine ruby1.9.1-pakker.