Рекомендация Debian по безопасности

DLA-88-1 ruby1.8 -- обновление безопасности LTS

Дата сообщения:
21.11.2014
Затронутые пакеты:
ruby1.8
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-0188, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815, CVE-2014-8080, CVE-2014-8090.
Более подробная информация:

Данное обновление исправляет многочисленные локальные и удалённые отказы в обслуживании и проблемы, связанные с удалённым выполнением кода:

  • CVE-2011-0188

    Корректное выделение памяти с целью предотвращения выполнения произвольного кода или аварийной остановки приложения. Об уязвимости сообщил Дрю Яо.

  • CVE-2011-2686

    Повторная инициализация случайного начального числа при разветвлении с целью предотвращения подобных CVE-2003-0900 ситуаций.

  • CVE-2011-2705

    Изменение состояния PRNG с целью предотвращения повторов последовательностей случайных чисел в ответвлённом дочернем процессе, имеющим тот же идентификатор. Об уязвимости сообщил Эрик Вонг.

  • CVE-2011-4815

    Исправление проблемы с предсказуемыми столкновениями хешей, приводящими к отказу в обслуживании (чрезмерное потребление ресурсов ЦП). О проблеме сообщил Александр Клинк и Джулиан Вилд.

  • CVE-2014-8080

    Исправление кода для грамматического разбора REXML с целью предотвращения отказа в обслуживании из-за чрезмерного потребления памяти, вызываемого специально сформированными документами в формате XML. О проблеме сообщил Уиллис Вандевантер.

  • CVE-2014-8090

    Добавление REXML::Document#document к исправлению для CVE-2014-8080. О проблеме сообщил Томас Хогер.

В Debian 6 Squeeze эти проблемы были исправлены в пакете ruby1.8 версии 1.8.7.302-2squeeze3