Bulletin d'alerte Debian

DSA-3159-1 ruby1.8 -- Mise à jour de sécurité

Date du rapport :
10 février 2015
Paquets concernés :
ruby1.8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-8080, CVE-2014-8090.
Plus de précisions :

L'analyseur REXML, faisant partie de l'interpréteur pour le langage Ruby, pourrait être contraint d'allouer des gros objets de type chaîne de caractères qui pourraient utiliser toute la mémoire disponible du système. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage).

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.8.7.358-7.1+deb7u2.

Pour la distribution stable à venir (Jessie), ce problème a été corrigé dans la version 2.1.5-1 du paquet source ruby2.1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1.5-1 du paquet source ruby2.1.

Nous vous recommandons de mettre à jour vos paquets ruby1.8.