Bulletin d'alerte Debian

DLA-2330-1 jruby -- Mise à jour de sécurité pour LTS

Date du rapport :

16 août 2020

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-17742, CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255.

Plus de précisions :

Brève description

CVE-2017-17742
Attaque par séparation de réponse dans le serveur HTTP de WEBrick.
CVE-2019-8320
Suppression de répertoire en utilisant un lien symbolique lors d’une décompression tar.
CVE-2019-8321
Vulnérabilité d’injection de séquence d’échappement dans verbose.
CVE-2019-8322
Vulnérabilité d’injection de séquence d’échappement dans owner de gem.
CVE-2019-8323
Vulnérabilité d’injection de séquence d’échappement dans la gestion de réponse de l’API.
CVE-2019-8324
Installation d’un gem malveillant pouvant conduire à l’exécution de code arbitraire.
CVE-2019-8325
Vulnérabilité d’injection de séquence d’échappement lors d’erreurs.
CVE-2019-16201
Vulnérabilité, à l’aide d’expression rationnelle, de déni de service de l’authentification d’accès Digest de WEBrick.
CVE-2019-16254
Attaque par séparation de réponse HTTP dans le serveur HTTP de WEBrick.
CVE-2019-16255
Vulnérabilité d’injection de code.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.7.26-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets jruby.

Pour disposer d'un état détaillé sur la sécurité de jruby, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jruby

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.