Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2809-1 ruby1.8

Säkerhetsbulletin från Debian

DSA-2809-1 ruby1.8 -- flera sårbarheter

Rapporterat den:

2013-12-04

Berörda paket:

ruby1.8

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 702526, Fel 714541, Fel 730189.
I Mitres CVE-förteckning: CVE-2013-1821, CVE-2013-4073, CVE-2013-4164.

Ytterligare information:

Flera sårbarheter har upptäckts i tolken av språket Ruby. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-1821

  Ben Murphy upptäckte att obegränsad enhetsexpansion i REXML kan leda till en överbelastning genom att konsumera allt värd-minne.

• CVE-2013-4073

  William (B.J.) Snow Orvis upptäckte en sårbarhet i kontrollen av värdnamn i Ruby's SSL-klient som kunde tillåta man-in-the-middle-angripare att lura SSL-servrar via ett skapat certifikat utgivet av en pålitlig certifikatsmyndighet.

• CVE-2013-4164

  Charlie Somerville upptäckte att Ruby inkorrekt hanterar konvertering av flyttal. Om en applikation som använder Ruby accepterar icke pålitliga indatasträngar och konverterade dessa till flyttal, så kunde en angripare som hade möjlighet att tillhandahålla sådan indata orsaka applikationen att krascha, eller möjligen exekvera godtycklig kod med applikationens rättigheter.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.8.7.302-2squeeze2.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.8.7.358-7.1+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.7.358-9.

Vi rekommenderar att ni uppgraderar era ruby1.8-paket.