Bulletin d'alerte Debian

DLA-1358-1 ruby1.9.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
23 avril 2018
Paquets concernés :
ruby1.9.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-17742, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000075, CVE-2018-1000, CVE-2018-1000077, CVE-2018-1000078.
Plus de précisions :

Plusieurs vulnérabilités ont été trouvées dans l’interpréteur pour le langage Ruby. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-17742

    Aaron Patterson a signalé que WEBrick empaqueté avec Ruby était vulnérable à une vulnérabilité de fractionnement de réponse HTTP. Il était possible pour un attaquant d’injecter des réponses fausses si un script acceptait une entrée externe et la sortait sans modification.

  • CVE-2018-6914

    ooooooo_q a découvert une vulnérabilité de traversée de répertoires dans la méthode Dir.mktmpdir de la bibliothèque tmpdir. Elle permettait à des attaquants de créer des répertoires ou fichiers arbitraires l'aide d'un « .. » (point point) dans l’argument du préfixe.

  • CVE-2018-8777

    Eric Wong a signalé une vulnérabilité de déni de service par épuisement de mémoire, relative à une large requête dans WEBrick empaqueté avec Ruby.

  • CVE-2018-8778

    aerodudrizzt a trouvé une vulnérabilité de lecture hors limites dans la méthode String#unpack de Ruby. Si un grand nombre était passé avec le spécificateur @, le nombre était traité comme une valeur négative et une lecture hors limite se produisait. Des attaquants pourraient lire des données de tas si un script acceptait une entrée externe comme argument de String#unpack.

  • CVE-2018-8779

    ooooooo_q a signalé que les méthodes UNIXServer.open et UNIXSocket.open de la bibliothèque de socket empaquetée avec Ruby ne vérifiait pas si des octets étaient NUL dans l’argument du chemin. Le manque de vérification rend les méthodes vulnérables à la création et à l’accès involontaire de socket.

  • CVE-2018-8780

    ooooooo_q a découvert une traversée de répertoires involontaire dans quelques méthodes dans Dir, à cause du manque de vérification des octets NUL dans leurs paramètres.

  • CVE-2018-1000075

    Vulnérabilité de taille négative dans l’en-tête de paquet gem ruby pouvant causer une boucle infinie.

  • CVE-2018-1000076

    Le paquet RubyGems vérifie improprement les signatures chiffrées. Un gem signé incorrectement pourrait être installé si l’archive contient plusieurs signatures de gem.

  • CVE-2018-1000077

    Vulnérabilité de validation incorrecte d’entrée dans l’attribut de la page d’accueil de la spécification RubyGems pouvant permettre à un gem malveillant de définir une URL de page d’accueil non valable.

  • CVE-2018-1000078

    Vulnérabilité de script intersite (XSS) dans l’affichage du serveur de gem de l’attribut de page d’accueil.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.9.3.194-8.1+deb7u8.

Nous vous recommandons de mettre à jour vos paquets ruby1.9.1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.