Säkerhetsbulletin från Debian

DSA-2810-1 ruby1.9.1 -- heapbaserat bufferspill

Rapporterat den:
2013-12-04
Berörda paket:
ruby1.9.1
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 730178.
I Mitres CVE-förteckning: CVE-2013-4164.
Ytterligare information:

Charlie Somerville upptäckte att Ruby inkorrekt hanterar konvertering av flyttal. Om en applikation som använder Ruby accepterar icke pålitliga indatasträngar och konverterade dessa till flyttal, så kunde en angripare som hade möjlighet att tillhandahålla sådan indata orsaka applikationen att krascha, eller möjligen exekvera godtycklig kod med applikationens rättigheter.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.9.2.0-2+deb6u2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.9.3.194-8.1+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.9.3.484-1.

Vi rekommenderar att ni uppgraderar era ruby1.9.1-paket.