Säkerhetsbulletin från Debian
DSA-2738-1 ruby1.9.1 -- flera sårbarheter
- Rapporterat den:
- 2013-08-18
- Berörda paket:
- ruby1.9.1
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 702525, Fel 714543.
I Mitres CVE-förteckning: CVE-2013-1821, CVE-2013-4073. - Ytterligare information:
-
Flera sårbarheter har upptäckts i tolken av språket Ruby, som kan leda till överbelastningar eller andra säkerhetsproblem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2013-1821
Ben Murphy upptäckte att obegränsad enhetsexpansion i REXML kan leda till en överbelastning genom konsumtion av allt värdminne.
- CVE-2013-4073
William (B.J.) Snow Orvis upptäckte en sårbarhet i värdnamnskontrollen i Ruby's SSL-klient som kunde tillåta en man-in-the-middle-angripare att förfalska SSL-servrar via giltiga certifikat som har utfärdats av en betrodd certifikatutfärdare.
För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.9.2.0-2+deb6u1.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.9.3.194-8.1+deb7u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.3.194-8.2.
Vi rekommenderar att ni uppgraderar era ruby1.9.1-paket.
- CVE-2013-1821