Bulletin d'alerte Debian

DLA-2070-1 ruby-excon -- Mise à jour de sécurité pour LTS

Date du rapport :
19 janvier 2020
Paquets concernés :
ruby-excon
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 946904.
Dans le dictionnaire CVE du Mitre : CVE-2019-16779.
Plus de précisions :

Dans excon de RubyGem avant 0.71.0, il existait une situation de compétition autour des connexions persistantes, lorsqu’une connexion interrompue (par exemple, par une temporisation) voulait déposer des données sur le socket. Les requêtes suivantes liraient ces données, renvoyant le contenu de la réponse précédente.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.33.0-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets ruby-excon.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.