Bulletin d'alerte Debian

DLA-1419-1 ruby-sprockets -- Mise à jour de sécurité pour LTS

Date du rapport :
12 juillet 2018
Paquets concernés :
ruby-sprockets
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-3760.
Plus de précisions :

Il existait un défaut de traversée de répertoires dans ruby-sprockets, un système d’empaquetage de ressources basé sur Rack. Un attaquant distant pourrait exploiter ce défaut pour lire des fichiers arbitraires en dehors du répertoire racine de l’application à l’aide de requêtes « file:// ».

Pour Debian 8 Jessie, ces problèmes ont été résolus dans la version 2.12.3-1+deb8u1 de ruby-sprockets.

Nous vous recommandons de mettre à jour vos paquets ruby-sprockets.