Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3322-1 ruby-rack

Säkerhetsbulletin från Debian

DSA-3322-1 ruby-rack -- säkerhetsuppdatering

Rapporterat den:

2015-07-31

Berörda paket:

ruby-rack

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 789311.
I Mitres CVE-förteckning: CVE-2015-3225.

Ytterligare information:

Tomek Rabczak frpn NCC Group upptäckte en brist i metoden normalize_params() i Rack, ett modulärt Ruby-webbservergränssnitt. En fjärrangripare kan använda denna brist via speciellt skapade förfrågningar för att orsaka ett `SystemStackError` och potentiellt orsaka en överbelastning för tjänsten.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.1-2.1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.5.2-3+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.2-4.

Vi rekommenderar att ni uppgraderar era ruby-rack-paket.