Bulletin d'alerte Debian

DLA-88-1 ruby1.8 -- Mise à jour de sécurité pour LTS

Date du rapport :
21 novembre 2014
Paquets concernés :
ruby1.8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-0188, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815, CVE-2014-8080, CVE-2014-8090.
Plus de précisions :

Cette mise à jour corrige plusieurs dénis de service locaux ou distants et des problèmes d’exécution de code à distance :

  • CVE-2011-0188

    Allocation de mémoire correcte pour empêcher l'exécution de code arbitraire ou le plantage de l'application. Rapport fait par Drew Yao.

  • CVE-2011-2686

    Réinitialisation de la graine aléatoire lors de fourchage pour éviter des situations telles queCVE-2003-0900.

  • CVE-2011-2705

    Modification de l’état du PRNG pour éviter la répétition de nombre aléatoire lors de bifurcations de processus ayant le même PID. Rapport fait par Eric Wong.

  • CVE-2011-4815

    Correction d’un problème de collisions prédictibles de hachages menant à des attaques de déni de service (consommation de CPU). Rapport fait par Alexander Klink et Julian Waelde.

  • CVE-2014-8080

    Correction de l’analyseur REXML pour empêcher des dénis de service par consommation de mémoire à l’aide de documents XML contrefaits. Rapport fait par Willis Vandevanter.

  • CVE-2014-8090

    Ajout de REXML::Document#document pour compléter le correctif pour CVE-2014-8080. Rapport fait par Tomas Hoger.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.8.7.302-2squeeze3 de ruby1.8.