Bulletin d'alerte Debian

DLA-209-1 jruby -- Mise à jour de sécurité pour LTS

Date du rapport :
29 avril 2015
Paquets concernés :
jruby
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 686867.
Dans le dictionnaire CVE du Mitre : CVE-2011-4838.
Plus de précisions :

JRuby avant 1.6.5.1 calcule des valeurs de hachage sans restreindre la capacité de déclencher des collisions de hachages de façon prévisible. Cela permet à des attaquants en fonction du contexte de provoquer un déni de service (consommation de CPU) grâce à une entrée contrefaite pour une application qui maintient une table de hachage. Note : Cette mise à jour inclut des corrections pour le correctif original pour des publications ultérieures de Debian afin d'éviter les problèmes identifiés dans CVE-2012-5370.