Debians sikkerhedsbulletin
DSA-2809-1 ruby1.8 -- flere sårbarheder
- Rapporteret den:
- 4. dec 2013
- Berørte pakker:
- ruby1.8
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 702526, Fejl 714541, Fejl 730189.
I Mitres CVE-ordbog: CVE-2013-1821, CVE-2013-4073, CVE-2013-4164. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i fortolkeren af Ruby-sproget. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-1821
Ben Murphy opdagede at ubegrænset entitetsudvidelse i REXML, kunne føre til et lammelsesangreb (denial of service) ved at forbruge al hukommelsesen på værtsmaskinen.
- CVE-2013-4073
William (B.J.) Snow Orvis opdagede en sårbarhed i kontrollen af værtsnavne i Rubys SSL-klient, hvilket kunne gøre det muligt for manden i midten-angribere, at udgive sig for at være SSL-servere gennem et fabrikeret certifikat udgivet af en certificeringsmyndighed, der er tillid til.
- CVE-2013-4164
Charlie Somerville opdagede at Ruby på ukorrekt vis håndterede konverteringer med flydende komma. Hvis en applikation, der anvender Ruby, accepterede strenge, der ikke er tillid til, og konverterede dem til flydende komma-tal, kunne en angriber med mulighed for at levere sådanne inddata, få applikationen til at gå ned eller muligvis udføre vilkårlig kode med rettighederne hørende til applikationen.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.8.7.302-2squeeze2.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.8.7.358-7.1+deb7u1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.8.7.358-9.
Vi anbefaler at du opgraderer dine ruby1.8-pakker.
- CVE-2013-1821