Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2738-1 ruby1.9.1

Säkerhetsbulletin från Debian

DSA-2738-1 ruby1.9.1 -- flera sårbarheter

Rapporterat den:

2013-08-18

Berörda paket:

ruby1.9.1

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 702525, Fel 714543.
I Mitres CVE-förteckning: CVE-2013-1821, CVE-2013-4073.

Ytterligare information:

Flera sårbarheter har upptäckts i tolken av språket Ruby, som kan leda till överbelastningar eller andra säkerhetsproblem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-1821

  Ben Murphy upptäckte att obegränsad enhetsexpansion i REXML kan leda till en överbelastning genom konsumtion av allt värdminne.

• CVE-2013-4073

  William (B.J.) Snow Orvis upptäckte en sårbarhet i värdnamnskontrollen i Ruby's SSL-klient som kunde tillåta en man-in-the-middle-angripare att förfalska SSL-servrar via giltiga certifikat som har utfärdats av en betrodd certifikatutfärdare.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.9.2.0-2+deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.9.3.194-8.1+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.3.194-8.2.

Vi rekommenderar att ni uppgraderar era ruby1.9.1-paket.