Säkerhetsbulletin från Debian

DSA-2738-1 ruby1.9.1 -- flera sårbarheter

Rapporterat den:
2013-08-18
Berörda paket:
ruby1.9.1
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 702525, Fel 714543.
I Mitres CVE-förteckning: CVE-2013-1821, CVE-2013-4073.
Ytterligare information:

Flera sårbarheter har upptäckts i tolken av språket Ruby, som kan leda till överbelastningar eller andra säkerhetsproblem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-1821

    Ben Murphy upptäckte att obegränsad enhetsexpansion i REXML kan leda till en överbelastning genom konsumtion av allt värdminne.

  • CVE-2013-4073

    William (B.J.) Snow Orvis upptäckte en sårbarhet i värdnamnskontrollen i Ruby's SSL-klient som kunde tillåta en man-in-the-middle-angripare att förfalska SSL-servrar via giltiga certifikat som har utfärdats av en betrodd certifikatutfärdare.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.9.2.0-2+deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.9.3.194-8.1+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.3.194-8.2.

Vi rekommenderar att ni uppgraderar era ruby1.9.1-paket.