Bulletin d'alerte Debian

DSA-2809-1 ruby1.8 -- Plusieurs vulnérabilités

Date du rapport :

4 décembre 2013

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 702526, Bogue 714541, Bogue 730189.
Dans le dictionnaire CVE du Mitre : CVE-2013-1821, CVE-2013-4073, CVE-2013-4164.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2013-1821
Ben Murphy a découvert que l'expansion d'entité non restreinte dans REXML peut conduire à un déni de service en consommant toute la mémoire de l'hôte.
CVE-2013-4073
William (B.J.) Snow Orvis a découvert, dans la vérification de nom d'hôte dans le client SSL de Ruby, une vulnérabilité qui pourrait permettre à des attaquants de type homme du milieu d'usurper des serveurs SSL à l'aide d'un certificat contrefait émis par une autorité de certification de confiance.
CVE-2013-4164
Charlie Somerville a découvert que Ruby gérait de façon incorrecte la conversion de nombres à virgule flottante. Si une application utilisant Ruby accepte des chaînes d'entrée non digne de confiance et les convertit en nombres à virgule flottante, un attaquant capable de fournir une telle entrée pourrait causer un plantage de l'application ou, éventuellement, exécuter du code arbitraire avec les permissions de l'application.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.8.7.302-2squeeze2.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.8.7.358-7.1+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.7.358-9.

Nous vous recommandons de mettre à jour vos paquets ruby1.8.