LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-215-1 libjson-ruby

Bulletin d'alerte Debian

DLA-215-1 libjson-ruby -- Mise à jour de sécurité pour LTS

Date du rapport :

30 avril 2015

Paquets concernés :

libjson-ruby

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-0269.

Plus de précisions :

Le module (« gem ») JSON pour Ruby permettait à des attaquants distants de provoquer un déni de service (consommation de ressources) ou un contournement du mécanisme de protection contre l'affectation de masse à l'aide d'un document JSON contrefait qui déclenche la création de symboles Ruby arbitraires ou de certains objets internes, comme cela a été démontré en conduisant une attaque d'injection de code SQL à l'encontre de Ruby on Rails, connue sous le nom de « vulnérabilité de création d'objet non sûr ».

Pour Debian 6 Squeeze, ce problème a été corrigé dans libjson-ruby version 1.1.9-1+deb6u1.