Säkerhetsbulletin från Debian

DSA-2783-1 librack-ruby -- flera sårbarheter

Rapporterat den:
2013-10-21
Berörda paket:
librack-ruby
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 653963, Fel 698440, Fel 700226.
I Mitres CVE-förteckning: CVE-2011-5036, CVE-2013-0183, CVE-2013-0184, CVE-2013-0263.
Ytterligare information:

Flera sårbarheter har upptäckts i Rack, en modulärt webbservergränssnitt för Ruby. Projektet Common Vulnerabilites and Exposures identifierar följande sårbarheter:

  • CVE-2011-5036

    Rack beräknar hash-värden för formulärparametrar utan att begränsa möjligheten att trigga hashkollisioner förutsägbart, vilket tillåter fjärrangripare att orsaka en överbelastning (CPU-konsumption) genom att skicka många skapade parametrar.

  • CVE-2013-0183

    En fjärrangripare kunde orsaka en överbelastning (minneskonsumption och fel vid slut på minne) via en lång sträng i ett HTTP-paket med flera delar.

  • CVE-2013-0184

    En sårbarhet i Rack::Auth::AbstractRequest tillåter fjärrangripare att orsaka en överbelastning genom okända vektorer.

  • CVE-2013-0263

    Rack::Session::Cookie tillåter fjärrangripare att gissa sessionskakan, få privilegier och exekvera godtycklig kod via ett timingangrepp som involverar en HMAC-jämförelsefunktion som inte kör på konstant tid.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.1.0-4+squeeze1.

Stabila, uttestnings- och instabila utgåvan innehåller inte paketet librack-ruby. Där har detta problem redan behandlats i version 1.4.1-2.1 av paketet ruby-rack.

Vi rekommenderar att ni uppgraderar era librack-ruby-paket.