LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-88-1 ruby1.8

Bulletin d'alerte Debian

DLA-88-1 ruby1.8 -- Mise à jour de sécurité pour LTS

Date du rapport :

21 novembre 2014

Paquets concernés :

ruby1.8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0188, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815, CVE-2014-8080, CVE-2014-8090.

Plus de précisions :

Cette mise à jour corrige plusieurs dénis de service locaux ou distants et des problèmes d’exécution de code à distance :

• CVE-2011-0188

  Allocation de mémoire correcte pour empêcher l'exécution de code arbitraire ou le plantage de l'application. Rapport fait par Drew Yao.

• CVE-2011-2686

  Réinitialisation de la graine aléatoire lors de fourchage pour éviter des situations telles queCVE-2003-0900.

• CVE-2011-2705

  Modification de l’état du PRNG pour éviter la répétition de nombre aléatoire lors de bifurcations de processus ayant le même PID. Rapport fait par Eric Wong.

• CVE-2011-4815

  Correction d’un problème de collisions prédictibles de hachages menant à des attaques de déni de service (consommation de CPU). Rapport fait par Alexander Klink et Julian Waelde.

• CVE-2014-8080

  Correction de l’analyseur REXML pour empêcher des dénis de service par consommation de mémoire à l’aide de documents XML contrefaits. Rapport fait par Willis Vandevanter.

• CVE-2014-8090

  Ajout de REXML::Document#document pour compléter le correctif pour CVE-2014-8080. Rapport fait par Tomas Hoger.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.8.7.302-2squeeze3 de ruby1.8.