Bulletin d'alerte Debian

DLA-215-1 libjson-ruby -- Mise à jour de sécurité pour LTS

Date du rapport :
30 avril 2015
Paquets concernés :
libjson-ruby
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-0269.
Plus de précisions :

Le module (« gem ») JSON pour Ruby permettait à des attaquants distants de provoquer un déni de service (consommation de ressources) ou un contournement du mécanisme de protection contre l'affectation de masse à l'aide d'un document JSON contrefait qui déclenche la création de symboles Ruby arbitraires ou de certains objets internes, comme cela a été démontré en conduisant une attaque d'injection de code SQL à l'encontre de Ruby on Rails, connue sous le nom de « vulnérabilité de création d'objet non sûr ».

Pour Debian 6 Squeeze, ce problème a été corrigé dans libjson-ruby version 1.1.9-1+deb6u1.