Debian セキュリティ勧告

DSA-2783-1 librack-ruby -- 複数の脆弱性

報告日時:
2013-10-21
影響を受けるパッケージ:
librack-ruby
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 653963, バグ 698440, バグ 700226.
Mitre の CVE 辞書: CVE-2011-5036, CVE-2013-0183, CVE-2013-0184, CVE-2013-0263.
詳細:

複数の脆弱性が Rack、モジュール型の Ruby ウェブサーバインターフェイスに発見されています。The Common Vulnerabilities and Exposures project は以下の脆弱性を認識しています:

  • CVE-2011-5036

    Rack はパラメータのハッシュ値を制限なく計算して予想どおりにハッシュを競合させ、 リモートの攻撃者が細工したパラメータを多数送ることでサービス拒否 (CPU 消費) を引き起こすことが可能です。

  • CVE-2013-0183

    リモートの攻撃者がマルチパート HTTP パケット中の長い文字列を経由してサービス拒否 (メモリ消費及びメモリ不足エラー) を引き起こすことが可能です。

  • CVE-2013-0184

    Rack::Auth::AbstractRequest にある脆弱性により、 リモートの攻撃者に未知の手法を経由したサービス拒否を許します。

  • CVE-2013-0263

    Rack::Session::Cookie がリモートの攻撃者にセッションクッキーの推測を許し、 獲得の権限や、一定の時間で実行されない HMAC 比較関数を伴うタイミング攻撃を経由した任意のコードの実行を許します。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.1.0-4+squeeze1 で修正されています。

安定版 (stable)、テスト版 (testing)、不安定版 (unstable) ディストリビューションには librack-ruby パッケージは収録されていません。 ruby-rack パッケージのバージョン 1.4.1-2.1 で既に対応済みです。

直ちに librack-ruby パッケージをアップグレードすることを勧めます。