Bulletin d'alerte Debian

DLA-1167-1 ruby-yajl -- Mise à jour de sécurité pour LTS

Date du rapport :
8 novembre 2017
Paquets concernés :
ruby-yajl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 880691.
Dans le dictionnaire CVE du Mitre : CVE-2017-16516.
Plus de précisions :

Une vulnérabilité a été découverte dans ruby-yajl, une interface à Yajl, une bibliothèque JSON d’analyse basée sur les flux. Quand un fichier JSON contrefait est fourni à Yajl::Parser.new.parse, le processus ruby en entier plante avec un SIGABRT dans la fonction yajl_string_decode dans yajl_encode.c. Cela pourrait aboutir à un déni de service.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.1.0-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets ruby-yajl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.