Рекомендация Debian по безопасности

DLA-275-1 ruby1.9.1 -- обновление безопасности LTS

Дата сообщения:
20.07.2015
Затронутые пакеты:
ruby1.9.1
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-6438.
Более подробная информация:

Было обнаружено, что пакет uri из стандартной библиотеки Ruby использует регулярные выражения, которые могут приводить к чрезмерному перебору с возвратом. Приложения на Ruby, выполняющие грамматический разбор недоверенных URI и использующие эту библиотеку, подвержены атакам, вызывающим отказ в обслуживании, путём передачи специально сформированных URI.

В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.9.2.0-2+deb6u6.

Предыдущий стабильный (wheezy) и стабильный (jessie) выпуски не подвержены этой проблеме, поскольку она была исправлена до момента выпуска указанных версий.