Bulletin d'alerte Debian

DSA-2783-1 librack-ruby -- Plusieurs vulnérabilités

Date du rapport :
21 octobre 2013
Paquets concernés :
librack-ruby
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 653963, Bogue 698440, Bogue 700226.
Dans le dictionnaire CVE du Mitre : CVE-2011-5036, CVE-2013-0183, CVE-2013-0184, CVE-2013-0263.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Rack, une interface modulaire de serveur web en Ruby. Le projet « Common Vulnerabilites and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2011-5036

    Rack calcule des valeurs de hachage pour les paramètres de formulaire sans restreindre la capacité de déclencher des collisions de hachages de façon prévisible. Cela permet à des attaquants distants de provoquer un déni de service (consommation de CPU) en envoyant de nombreux paramètres contrefaits.

  • CVE-2013-0183

    Un attaquant à distance pourrait provoquer un déni de service (erreur de consommation trop importante et de dépassement de mémoire) grâce à une longue chaîne dans un paquet HTTP Multipart.

  • CVE-2013-0184

    Une vulnérabilité dans Rack::Auth::AbstractRequest permet aux attaquants distants de provoquer un déni de service avec des vecteurs inconnus.

  • CVE-2013-0263

    Rack::Session::Cookie permet aux attaquants distants de deviner le cookie de session, obtenir des privilèges et exécuter du code arbitraire à l'aide d'une attaque de timing impliquant une fonction de comparaison HMAC qui ne s'exécute pas en temps constant.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.1.0-4+squeeze1.

Les distributions stable, testing et unstable ne contiennent pas le paquet librack-ruby. Ces problèmes ont déjà été corrigés dans la version 1.4.1-2.1 du paquet ruby-rack.

Nous vous recommandons de mettre à jour vos paquets librack-ruby.