Debian セキュリティ勧告

DLA-88-1 ruby1.8 -- LTS セキュリティ更新

報告日時:
2014-11-21
影響を受けるパッケージ:
ruby1.8
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-0188, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815, CVE-2014-8080, CVE-2014-8090.
詳細:

この更新では複数の、 ローカル及びリモートのサービス拒否やリモートコードの実行の問題を修正しています:

  • CVE-2011-0188

    適切にメモリを割り当てることで任意のコードの実行やアプリケーションのクラッシュを回避。 報告: Drew Yao

  • CVE-2011-2686

    フォーク時に乱数種を再初期化して CVE-2003-0900 類似の状況を回避。

  • CVE-2011-2705

    PRNG (擬似乱数発生器) 状態を変更し、分岐した同一PIDの子プロセスで乱数配列が繰り返されるのを回避。 報告: Eric Wong

  • CVE-2011-4815

    予測可能なハッシュ衝突の問題でサービス拒否 (CPU 消費) 攻撃につながるのを修正。 報告: Alexander Klink, Julian Waelde

  • CVE-2014-8080

    REXML パーサを修正して細工した XML 文書を経由したメモリ消費によるサービス拒否を回避。 報告: Willis Vandevanter

  • CVE-2014-8090

    REXML::Document#document を追加して CVE-2014-8080 の修正を補完。報告: Tomas Hoger

Debian 6Squeezeでは、この問題は ruby1.8 バージョン 1.8.7.302-2squeeze3 で修正されています。