Bulletin d'alerte Debian

DLA-2380-1 ruby-gon -- Mise à jour de sécurité pour LTS

Date du rapport :
26 septembre 2020
Paquets concernés :
ruby-gon
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-25739.
Plus de précisions :

Il a été découvert qu il existait une vulnérabilité de script intersite (XSS) dans ruby-gon, une bibliothèque Ruby pour envoyer ou convertir des données en Javascript à partir d’une application en Ruby.

  • CVE-2020-25739

    Un problème a été découvert dans le gem gon avant gon-6.4.0 pour Ruby. MultiJson ne prend pas en compte le paramètre escape_mode pour protéger les champs en tant que mécanisme de protection contre les scripts intersites. Comme mitigation, json_dumper.rb dans gon réalise par défaut cette protection sans s’appuyer sur MultiJson.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 6.1.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ruby-gon.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.