Bulletin d'alerte Debian
DLA-88-1 ruby1.8 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 21 novembre 2014
- Paquets concernés :
- ruby1.8
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-0188, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815, CVE-2014-8080, CVE-2014-8090.
- Plus de précisions :
-
Cette mise à jour corrige plusieurs dénis de service locaux ou distants et des problèmes d’exécution de code à distance :
- CVE-2011-0188
Allocation de mémoire correcte pour empêcher l'exécution de code arbitraire ou le plantage de l'application. Rapport fait par Drew Yao.
- CVE-2011-2686
Réinitialisation de la graine aléatoire lors de fourchage pour éviter des situations telles queCVE-2003-0900.
- CVE-2011-2705
Modification de l’état du PRNG pour éviter la répétition de nombre aléatoire lors de bifurcations de processus ayant le même PID. Rapport fait par Eric Wong.
- CVE-2011-4815
Correction d’un problème de collisions prédictibles de hachages menant à des attaques de déni de service (consommation de CPU). Rapport fait par Alexander Klink et Julian Waelde.
- CVE-2014-8080
Correction de l’analyseur REXML pour empêcher des dénis de service par consommation de mémoire à l’aide de documents XML contrefaits. Rapport fait par Willis Vandevanter.
- CVE-2014-8090
Ajout de REXML::Document#document pour compléter le correctif pour CVE-2014-8080. Rapport fait par Tomas Hoger.
Pour Debian 6
Squeeze
, ces problèmes ont été corrigés dans la version 1.8.7.302-2squeeze3 de ruby1.8. - CVE-2011-0188