Debians sikkerhedsbulletin

DSA-2783-1 librack-ruby -- flere sårbarheder

Rapporteret den:
21. okt 2013
Berørte pakker:
librack-ruby
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 653963, Fejl 698440, Fejl 700226.
I Mitres CVE-ordbog: CVE-2011-5036, CVE-2013-0183, CVE-2013-0184, CVE-2013-0263.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Rack, en modulær webservicegrænseflade til Ruby. ProjektetCommon Vulnerabilites and Exposures har registreret følgende sårbarheder:

  • CVE-2011-5036

    Rack beregner hashværdier til formularparametre, uden at begrænse muligheden for at udløse hashkollioner på forudsigelig vis, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (CPU-forbrug), ved at snede mange fabrikerede parametre.

  • CVE-2013-0184

    En sårbarhed i Rack::Auth::AbstractRequest gjorde det muligt for fjernangribere at forårsage et lammelsesangreb via ukendte angrebsvinkler.

  • CVE-2013-0183

    En fjernangriber kunne forårsage et lammelsesangreb (hukommelsesforbrug og uden for hukommelsen-fejl) via en lang streng i en Multipart HTTP-pakke.

  • CVE-2013-0263

    Rack::Session::Cookie gjorde det muligt for fjernangribere at gætte sessionscookien, opnå rettigheder og udføre vilkårlig kode via et timingangreb, som involverede en HMAC-sammenligningsfunktion, der ikke kører i konstant tid.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.1.0-4+squeeze1.

Distributionerne stable, testing og unstable indeholder ikke pakken librack-ruby. Problemerne er allerede løst i version 1.4.1-2.1 af pakken ruby-rack.

Vi anbefaler at du opgraderer dine librack-ruby-pakker.