Bulletin d'alerte Debian

DLA-1735-1 ruby2.1 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 mars 2019
Paquets concernés :
ruby2.1
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-8320, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans rubygems imbriqué dans ruby2.1, le langage de script interprété.

  • CVE-2019-8320

    Un problème de traversée de répertoire été découvert dans RubyGems. Avant de créer de nouveaux répertoires ou fichiers (qui maintenant inclut le code de vérification de chemin pour les liens symboliques), il supprime la destination de la cible.

  • CVE-2019-8322

    La commande owner de gem affiche le contenu de la réponse de l’API directement sur la sortie standard. Par conséquent, si la réponse est contrefaite, une injection de séquence d’échappement peut se produire.

  • CVE-2019-8323

    Gem::GemcutterUtilities#with_response peut afficher la réponse de l’API sur la sortie standard telle quelle. Par conséquent, si le côté API modifie la réponse, une injection de séquence d’échappement peut se produire.

  • CVE-2019-8324

    Un gem contrefait avec un nom multi-ligne n’est pas géré correctement. Par conséquent, un attaquant pourrait injecter du code arbitraire sur la ligne de souche de gemspec, qui est eval-ué par du code dans ensure_loadable_spec lors la vérification de préinstallation.

  • CVE-2019-8325

    Un problème a été découvert dans RubyGems 2.6 et plus jusqu’à 3.0.2. Puisque Gem::CommandManager#run appelle alert_error sans échappement, une injection de séquence d’échappement est possible. (Il existe plusieurs façons de provoquer cette erreur).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.1.5-2+deb8u7.

Nous vous recommandons de mettre à jour vos paquets ruby2.1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.