Рекомендация Debian по безопасности

DSA-2783-1 librack-ruby -- несколько уязвимостей

Дата сообщения:
21.10.2013
Затронутые пакеты:
librack-ruby
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 653963, Ошибка 698440, Ошибка 700226.
В каталоге Mitre CVE: CVE-2011-5036, CVE-2013-0183, CVE-2013-0184, CVE-2013-0263.
Более подробная информация:

В Rack, модульном интерфейсе веб-сервера для Ruby, были обнаружены несколько уязвимостей. Проект Common Vulnerabilites and Exposures определяет следующие уязвимости:

  • CVE-2011-5036

    Rack вычисляет хеш-значения для параметров форм без ограничения возможности предсказуемого переключения хеш-столкновений, что позволяет удалённым атакующим вызывать отказ в обслуживании (потребление CPU) путём отправки множества специально сформированных параметров.

  • CVE-2013-0183

    Удалённый атакующий может вызвать отказ в обслуживании (потребление памяти и ошибка нехватки памяти) с помощью длинной строки в пакете Multipart HTTP.

  • CVE-2013-0184

    Уязвимость в Rack::Auth::AbstractRequest позволяет удалённым атакующим вызывать отказ в обслуживании с помощью неизвестных векторов.

  • CVE-2013-0263

    Rack::Session::Cookie позволяет удалённым атакующим определять куки сессии, увеличивать привилегии и выполнять произвольный код с помощью выполнения атаки по времени, включающей функцию сравнения HMAC, которая не выполняется за постоянное время.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.1.0-4+squeeze1.

Стабильный, тестируемый и нестабильный выпуски не содержат пакет librack-ruby. Эти проблемы уже были исправлены в версии 1.4.1-2.1 пакета ruby-rack.

Мы рекомендуем вам обновить ваши пакеты librack-ruby.