Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-88-1 ruby1.8

Debian セキュリティ勧告

DLA-88-1 ruby1.8 -- LTS セキュリティ更新

報告日時:

2014-11-21

影響を受けるパッケージ:

ruby1.8

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-0188, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815, CVE-2014-8080, CVE-2014-8090.

詳細:

この更新では複数の、 ローカル及びリモートのサービス拒否やリモートコードの実行の問題を修正しています:

• CVE-2011-0188

  適切にメモリを割り当てることで任意のコードの実行やアプリケーションのクラッシュを回避。 報告: Drew Yao

• CVE-2011-2686

  フォーク時に乱数種を再初期化して CVE-2003-0900 類似の状況を回避。

• CVE-2011-2705

  PRNG (擬似乱数発生器) 状態を変更し、分岐した同一PIDの子プロセスで乱数配列が繰り返されるのを回避。 報告: Eric Wong

• CVE-2011-4815

  予測可能なハッシュ衝突の問題でサービス拒否 (CPU 消費) 攻撃につながるのを修正。 報告: Alexander Klink, Julian Waelde

• CVE-2014-8080

  REXML パーサを修正して細工した XML 文書を経由したメモリ消費によるサービス拒否を回避。 報告: Willis Vandevanter

• CVE-2014-8090

  REXML::Document#document を追加して CVE-2014-8080 の修正を補完。報告: Tomas Hoger

Debian 6Squeezeでは、この問題は ruby1.8 バージョン 1.8.7.302-2squeeze3 で修正されています。