Информация по безопасности / 2015 / Информация о безопасности -- DSA-3322-1 ruby-rack

Рекомендация Debian по безопасности

DSA-3322-1 ruby-rack -- обновление безопасности

Дата сообщения:

31.07.2015

Затронутые пакеты:

ruby-rack

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 789311.
В каталоге Mitre CVE: CVE-2015-3225.

Более подробная информация:

Томек Рабчак из NCC Group обнаружил уязвимость в методе normalize_params() в коде Rack, модульном интерфейсе веб-сервера для Ruby. Удалённый злоумышленник может использовать данную уязвимость с помощью специально сформированных запросов для вызова `SystemStackError` и потенциального вызова отказа в обслуживании службы.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.4.1-2.1+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.5.2-3+deb8u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.5.2-4.

Рекомендуется обновить пакеты ruby-rack.