Bulletin d'alerte Debian

DLA-275-1 ruby1.9.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juillet 2015
Paquets concernés :
ruby1.9.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-6438.
Plus de précisions :

Le paquet uri dans la bibliothèque standard Ruby utilise des expressions rationnelles qui peuvent avoir pour conséquence un retour en arrière excessif. Les applications Ruby qui analysent des URI non fiables avec cette bibliothèque étaient vulnérables à des attaques par déni de service en passant des URI contrefaits.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1.9.2.0-2+deb6u6.

La distribution oldstable (Wheezy) et la distribution stable (Jessie) n'étaient pas affectées par ce problème parce qu'il avait été corrigé avant leur publication.