Bulletin d'alerte Debian

DLA-224-1 ruby1.8 -- Mise à jour de sécurité pour LTS

Date du rapport :
18 mai 2015
Paquets concernés :
ruby1.8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1855.
Plus de précisions :

L'extension OpenSSL de Ruby, qui fait partie de l'interpréteur du langage Ruby, n'implémente pas correctement la comparaison de noms d'hôte, en violation de la norme RFC 6125. Cela pourrait permettre à des attaquants distants de réaliser à une attaque de type « homme du milieu » à l'aide de certificats SSL contrefaits.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1.8.7.302-2squeeze4.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.8.7.358-7.1+deb7u3.