Bulletin d'alerte Debian

DLA-1421-1 ruby2.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
14 juillet 2018
Paquets concernés :
ruby2.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 851161.
Dans le dictionnaire CVE du Mitre : CVE-2015-9096, CVE-2016-2339, CVE-2016-7798, CVE-2017-0898, CVE-2017-0899, CVE-2017-0900, CVE-2017-0901, CVE-2017-0902, CVE-2017-0903, CVE-2017-10784, CVE-2017-14033, CVE-2017-14064, CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Plus de précisions :

Plusieurs vulnérabilités ont été trouvées dans l’interpréteur pour le langage Ruby. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-9096

    Injection de commande SMTP dans Net::SMTP à l’aide de séquences CRLF dans une commande RCPT TO ou MAIL FROM.

  • CVE-2016-2339

    Dépassement exploitable de tas dans Fiddle::Function.new.

  • CVE-2016-7798

    Traitement incorrect du vecteur d’initialisation dans le mode GCM dans l’extension OpenSSL.

  • CVE-2017-0898

    Vulnérabilité de sous-alimentation de tampon dans Kernel.sprintf.

  • CVE-2017-0899

    Vulnérabilité de séquence d’échappement ANSI dans RubyGems.

  • CVE-2017-0900

    Vulnérabilité de déni de service dans la commande query de RubyGems.

  • CVE-2017-0901

    Installateur de gem permettant à un gem malveillant d’écraser des fichiers arbitraires.

  • CVE-2017-0902

    Vulnérabilité de détournement de requête DNS de RubyGems.

  • CVE-2017-0903

    Max Justicz a signalé que RubyGems est prédisposé à une désérialisation d’objet non sûre. Lorsqu’analysée par une application qui traite des gems, une spécification de gem formatée en YAML, contrefaite pour l'occasion, peut conduire à une exécution de code à distance.

  • CVE-2017-10784

    Yusuke Endoh a découvert une vulnérabilité d’injection de séquence d’échappement dans l’authentification basique de WEBrick. Un attaquant peut exploiter ce défaut pour injecter des séquences malveillantes dans le journal de WEBrick et éventuellement exécuter des caractères de contrôle dans l’émulation du terminal de la victime lors de la lecture de journaux.

  • CVE-2017-14033

    Asac a signalé une vulnérabilité de sous-alimentation de tampon dans l’extension OpenSSL. Un attaquant distant pourrait exploiter ce défaut pour provoquer le plantage de l’interpréteur de Ruby aboutissant à un déni de service.

  • CVE-2017-14064

    Divulgation de mémoire de tas dans la bibliothèque JSON.

  • CVE-2017-17405

    Vulnérabilité d’injection de commande dans Net::FTP pouvant permettre à un serveur FTP malveillant d’exécuter des commandes arbitraires.

  • CVE-2017-17742

    Aaron Patterson a signalé que WEBrick empaqueté avec Ruby était vulnérable à une vulnérabilité de fractionnement de réponse HTTP. Il était possible pour un attaquant d’injecter des réponses fausses si un script acceptait une entrée externe et la sortait sans modification.

  • CVE-2017-17790

    Vulnérabilité d’injection de commande dans lazy_initialze de lib/resolv.rb pouvant permettre une attaque par injection de commande. Cependant, une entrée non fiable est peu probable.

  • CVE-2018-6914

    ooooooo_q a découvert une vulnérabilité de traversée de répertoires dans la méthode Dir.mktmpdir de la bibliothèque tmpdir. Elle rendait possible à des attaquants de créer des répertoires ou fichiers arbitraires l'aide d'un « .. » (point point) dans l’argument du préfixe.

  • CVE-2018-8777

    Eric Wong a signalé une vulnérabilité de déni de service par épuisement de mémoire, relative à une large requête dans WEBrick empaqueté avec Ruby.

  • CVE-2018-8778

    aerodudrizzt a trouvé une vulnérabilité de lecture hors limites dans la méthode String#unpack de Ruby. Si un grand nombre était passé avec le spécificateur @, le nombre était traité comme une valeur négative et une lecture hors limite se produisait. Des attaquants pourraient lire des données de tas si un script acceptait une entrée externe comme argument de String#unpack.

  • CVE-2018-8779

    ooooooo_q a signalé que les méthodes UNIXServer.open et UNIXSocket.open de la bibliothèque de socket empaquetée avec Ruby ne vérifiait pas pour des octets NUL dans l’argument du chemin. Le manque de vérification rend les méthodes vulnérables à la création involontaire de socket et à l’accès involontaire de socket.

  • CVE-2018-8780

    ooooooo_q a découvert une traversée de répertoires involontaire dans quelques méthodes dans Dir, à cause du manque de vérification pour des octets NUL dans leurs paramètres.

  • CVE-2018-1000075

    Vulnérabilité de taille négative dans l’en-tête de paquet gem ruby pouvant causer une boucle infinie.

  • CVE-2018-1000076

    Le paquet RubyGems vérifie improprement les signatures chiffrées. Un gem signé incorrectement pourrait être installé si l’archive contient plusieurs signatures de gem.

  • CVE-2018-1000077

    Vulnérabilité de validation incorrecte d’entrée dans l’attribut de la page d’accueil de la spécification RubyGems pouvant permettre à un gem malveillant de définir une URL de page d’accueil non valable.

  • CVE-2018-1000078

    Vulnérabilité de script intersite (XSS) dans l’affichage du serveur de gem de l’attribut de page d’accueil.

  • CVE-2018-1000079

    Vulnérabilité de traversée de répertoires lors de l’installation de gem.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.1.5-2+deb8u4.

Nous vous recommandons de mettre à jour vos paquets ruby2.1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.