Bulletin d'alerte Debian
DLA-215-1 libjson-ruby -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 30 avril 2015
- Paquets concernés :
- libjson-ruby
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-0269.
- Plus de précisions :
-
Le module (« gem ») JSON pour Ruby permettait à des attaquants distants de provoquer un déni de service (consommation de ressources) ou un contournement du mécanisme de protection contre l'affectation de masse à l'aide d'un document JSON contrefait qui déclenche la création de symboles Ruby arbitraires ou de certains objets internes, comme cela a été démontré en conduisant une attaque d'injection de code SQL à l'encontre de Ruby on Rails, connue sous le nom de « vulnérabilité de création d'objet non sûr ».
Pour Debian 6
Squeeze
, ce problème a été corrigé dans libjson-ruby version 1.1.9-1+deb6u1.