Bulletin d'alerte Debian

DLA-1796-1 jruby -- Mise à jour de sécurité pour LTS

Date du rapport :
21 mai 2019
Paquets concernés :
jruby
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 895778, Bogue 925987.
Dans le dictionnaire CVE du Mitre : CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans jruby, une implémentation en Java du langage de programmation Ruby.

  • CVE-2018-1000074

    Vulnérabilité de désérialisation de données non sûre dans la commande owner qui peut aboutir à l’exécution de code. Cette attaque apparait être exploitable à l’aide de la victime devant exécuter la commande « gem owner » dans un gem avec un fichier YAML contrefait pour l’occasion.

  • CVE-2018-1000075

    Boucle infinie causée par une vulnérabilité de taille négative dans les en-têtes tar de paquets gem de Ruby pouvant aboutir à une taille négative et causer une boucle infinie.

  • CVE-2018-1000076

    Vulnérabilité de vérification incorrecte de signature chiffrée dans package.rb pouvant aboutir à un gem mal signé installé, car l’archive compressée pourrait contenir plusieurs signatures de gem.

  • CVE-2018-1000077

    Vulnérabilité de validation incorrecte d’entrée dans l’attribut de la page d’accueil de la spécification RubyGems pouvant permettre à un gem malveillant de définir une URL de page d’accueil non valable.

  • CVE-2018-1000078

    Vulnérabilité de script intersite (XSS) dans l’affichage du serveur de gem de l’attribut de page d’accueil. Cette attaque apparait être exploitable à l’aide de la victime devant parcourir un gem malveillant sur un serveur gem vulnérable.

  • CVE-2019-8321

    Appels Gem::UserInteraction#verbose exprimés sans protection, une injection de séquence d’échappement était possible.

  • CVE-2019-8322

    La commande owner de gem affiche le contenu de la réponse de l’API directement sur la sortie standard. Par conséquent, si la réponse est contrefaite, une injection de séquence d’échappement peut se produire.

  • CVE-2019-8323

    Gem::GemcutterUtilities#with_response peut afficher la réponse de l’API sur la sortie standard telle quelle. Par conséquent, si le côté API modifie la réponse, une injection de séquence d’échappement peut se produire.

  • CVE-2019-8324

    Un gem contrefait avec un nom multi-ligne n’est pas géré correctement. Par conséquent, un attaquant pourrait injecter du code arbitraire sur la ligne de souche de gemspec, qui est évalué par du code dans ensure_loadable_spec lors la vérification de préinstallation.

  • CVE-2019-8325

    Gem::CommandManager#run appelle alert_error sans échappement, une injection de séquence d’échappement est possible. (Il existe plusieurs façons de provoquer cette erreur).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.5.6-9+deb8u1.

Nous vous recommandons de mettre à jour vos paquets jruby.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.