Bulletin d'alerte Debian

DLA-3408-1 jruby -- Mise à jour de sécurité pour LTS

Date du rapport :

30 avril 2023

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 972230, Bogue 1014818.
Dans le dictionnaire CVE du Mitre : CVE-2017-17742, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2020-25613, CVE-2021-31810, CVE-2021-32066, CVE-2023-28755, CVE-2023-28756.

Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans JRuby, une implémentation en Java du langage de programmation Ruby.

CVE-2017-17742 CVE-2019-16254
Attaques par fractionnement de réponse HTTP dans le serveur HTTP de WEBrick.
CVE-2019-16201
Vulnérabilité de déni de service par expression rationnelle dans l’authentification d’accès de Digest de WEBrick.
CVE-2019-16255
Vulnérabilité d’injection de code.
CVE-2020-25613
Attaque par dissimulation de requête HTTP dans WEBrick.
CVE-2021-31810
Vulnérabilité de fiabilité de réponses FTP PASV dans Net::FTP.
CVE-2021-32066
Pas de levée d’exception par Net::IMAP quand StartTLS échouait avec une réponse inconnue.
CVE-2023-28755
Retour quadratique sur trace pour un URI non valable.
CVE-2023-28756
Mauvaise gestion par l’analyseur Time de chaines non autorisées ayant des caractères spécifiques.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 9.1.17.0-3+deb10u1.

Nous vous recommandons de mettre à jour vos paquets jruby.

Pour disposer d'un état détaillé sur la sécurité de jruby, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jruby.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.