LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2192-1 ruby2.1

Bulletin d'alerte Debian

DLA-2192-1 ruby2.1 -- Mise à jour de sécurité pour LTS

Date du rapport :

1^er mai 2020

Paquets concernés :

ruby2.1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-10663.

Plus de précisions :

Le gem JSON jusqu’à la version 2.2.0 pour Ruby, comme utilisé dans Ruby 2.1, possède une vulnérabilité de création non sûre d’objet. Cela ressemble beaucoup à CVE-2013-0269, mais ne repose pas sur un comportement laxiste du ramasse-miettes au sein de Ruby. Particulièrement, l’utilisation de méthodes d’analyse JSON peut conduire à la création d’objet malveillant dans l’interpréteur, avec des effets négatifs variables selon l’application.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.1.5-2+deb8u10.

Nous vous recommandons de mettre à jour vos paquets ruby2.1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.