Bulletin d'alerte Debian

DLA-200-1 ruby1.9.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 avril 2015
Paquets concernés :
ruby1.9.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-4975, CVE-2014-8080, CVE-2014-8090.
Plus de précisions :
  • CVE-2014-4975

    La fonction encodes() dans pack.c avait une erreur due à un décalage d'entier qui pouvait conduire à un dépassement de pile. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou l'exécution de code arbitraire.

  • CVE-2014-8080, CVE-2014-8090

    L'analyseur REXML pourrait être contraint d'allouer des gros objets de type chaîne de caractères qui pourraient utiliser toute la mémoire disponible du système. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage).