Bulletin d'alerte Debian

DLA-263-1 ruby1.9.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
1er juillet 2015
Paquets concernés :
ruby1.9.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 693024, Bogue 700471.
Dans le dictionnaire CVE du Mitre : CVE-2012-5371, CVE-2013-0269.
Plus de précisions :

Deux vulnérabilités ont été identifiées dans l'interpréteur du langage Ruby, version 1.9.1.

  • CVE-2012-5371

    Jean-Philippe Aumasson a découvert que Ruby calculait des valeurs de hachage sans restreindre correctement la possibilité de déclencher des collisions de hachages prévisibles, permettant à des attaquants en fonction du contexte de provoquer un déni de service (consommation de CPU). C'est une vulnérabilité différente de CVE-2011-4815.

  • CVE-2013-0269

    Thomas Hollstegge et Ben Murphy ont découvert que le module (« gem ») JSON pour Ruby permettait à des attaquants distants de provoquer un déni de service (consommation de ressources) ou un contournement du mécanisme de protection contre l'affectation de masse à l'aide d'un document JSON contrefait qui déclenche la création de symboles Ruby arbitraires ou de certains objets internes.

Pour la distribution Squeeze, ces vulnérabilités ont été corrigées dans la version 1.9.2.0-2+deb6u5 de ruby1.9.1. Nous vous recommandons de mettre à jours votre paquet ruby1.9.1.