Bulletin d'alerte Debian

DLA-2334-1 ruby-websocket-extensions -- Mise à jour de sécurité pour LTS

Date du rapport :
19 août 2020
Paquets concernés :
ruby-websocket-extensions
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-7663.
Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité de déni de service dans ruby-websocket-extensions, une bibliothèque pour gérer des connexions Websocket HTTP de longue durée.

L’analyseur prenait un temps quadratique lors de l’analyse d’un en-tête contenant une valeur de chaîne de paramètre non fermée dont le contenu est une séquence de deux octets répétitifs. Cela pourrait être utilisé par un attaquant pour mener une attaque en déni de service par expression rationnelle (ReDoS) sur un serveur mono-processus en fournissant un contenu malveillant dans l’en-tête HTTP Sec-WebSocket-Extensions.

  • CVE-2020-7663

    Le module websocket-extensions de Ruby avant la version 0.1.5 permet un déni de service (DoS) à l’aide d’expression rationnelle utilisant la rétro-inspection. L’analyseur d’extension pouvait prendre une durée quadratique lors de l’analyse d’un en-tête contenant une valeur de chaîne de paramètre non fermée dont le contenu est une séquence de deux octets répétitifs de barre oblique inverse ou d’un autre caractère. Cela pourrait être utilisé par un attaquant pour mener une attaque en déni de service par expression rationnelle (ReDoS) sur un serveur mono-processus en fournissant un contenu malveillant dans l’en-tête HTTP Sec-WebSocket-Extensions.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.1.2-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ruby-websocket-extensions.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.