Bulletin d'alerte Debian

DLA-1399-1 ruby-passenger -- Mise à jour de sécurité pour LTS

Date du rapport :

27 juin 2018

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 864651.
Dans le dictionnaire CVE du Mitre : CVE-2015-7519, CVE-2018-12029.

Plus de précisions :

Deux défauts ont été découverts dans ruby-passenger pour la prise en charge de Ruby Rails et Rack qui permettaient à des attaquants d’usurper des en-têtes HTTP ou exploiter une situation de compétition pour une élévation des privilèges sous certaines conditions possibles.

CVE-2015-7519
Des attaquants distants pourraient usurper des en-têtes passés à des applications en utilisant un caractère de soulignement au lieu d’un tiret dans un en-tête HTTP comme démontré avec un en-tête X_User.
CVE-2018-12029
Une vulnérabilité a été découverte par l’équipe Pulse Security. Elle était exploitable seulement lors de l’exécution de passenger_instance_registry_dir non standard, à l'aide d'un situation de compétition où après un fichier était créé, il existait une fenêtre dans laquelle il pouvait être remplacé par un lien symbolique avant d’être « chowned » à l’aide du chemin et pas avec le descripteur de fichier. Si la cible du lien symbolique était un fichier qui devait être exécuté par root tel qu’un fichier crontab, alors une élévation des privilèges était possible. Cela est maintenant limité par l’utilisation de fchown().

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.0.53-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets ruby-passenger.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.