Debians sikkerhedsbulletin

DSA-2810-1 ruby1.9.1 -- heapoverløb

Rapporteret den:
4. dec 2013
Berørte pakker:
ruby1.9.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 730178.
I Mitres CVE-ordbog: CVE-2013-4164.
Yderligere oplysninger:

Charlie Somerville opdagede at Ruby på ukorrekt vis håndterede konverteringer med flydende komma. Hvis en applikation, der anvender Ruby, accepterede strenge, der ikke er tillid til, og konverterede dem til flydende komma-tal, kunne en angriber med mulighed for at levere sådanne inddata, få applikationen til at gå ned eller muligvis udføre vilkårlig kode med rettighederne hørende til applikationen.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.9.2.0-2+deb6u2.

I den stabile distribution (wheezy), er dette problem rettet i version 1.9.3.194-8.1+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 1.9.3.484-1.

Vi anbefaler at du opgraderer dine ruby1.9.1-pakker.