Рекомендация Debian по безопасности

DLA-263-1 ruby1.9.1 -- обновление безопасности LTS

Дата сообщения:
01.07.2015
Затронутые пакеты:
ruby1.9.1
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 693024, Ошибка 700471.
В каталоге Mitre CVE: CVE-2012-5371, CVE-2013-0269.
Более подробная информация:

В интерпретаторе языка Ruby версии 1.9.1 было обнаружено две уязвимости.

  • CVE-2012-5371

    Жан=Филипп Омассон определил, что Ruby вычисляет хеш-значения без соответствующего ограничения возможности предсказать столкновения хешей, что позволяет злоумышленникам в зависимости от контекста вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП). Это уязвимость отличается от CVE-2011-4815.

  • CVE-2013-0269

    Томас Холлстеге и Бен Мёрфи обнаружили, что модуль JSON для Ruby позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов) или обходить механизм защиты массовых назначений с помощью специально сформированного документа JSON, приводящего к созданию произвольных символов Ruby или определённых внутренних объектов.

В выпуске squeeze эти уязвимости были исправлены в версии 1.9.2.0-2+deb6u5 пакета ruby1.9.1. Рекомендуется обновить пакет ruby1.9.1.