Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3966-1 ruby2.3

Debians sikkerhedsbulletin

DSA-3966-1 ruby2.3 -- sikkerhedsopdatering

Rapporteret den:

5. sep 2017

Berørte pakker:

ruby2.3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-9096, CVE-2016-7798, CVE-2017-0899, CVE-2017-0900, CVE-2017-0901, CVE-2017-0902, CVE-2017-14064.

Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i fortolkeren af sproget Ruby:

• CVE-2015-9096

  SMTP-kommandoindsprøjtning i Net::SMTP.

• CVE-2016-7798

  Ukorrekt håndtering af initialiseringsvektor i GCM-tilstand i OpenSSL-udvidelsen.

• CVE-2017-0900

  Lammelsesangreb i RubyGems-klienten.

• CVE-2017-0901

  Potentiel filoverskrivelse i RubyGems-klienten.

• CVE-2017-0902

  DNS-kapring i RubyGems-klienten.

• CVE-2017-14064

  Heaphukommelsesafsløring i JSON-biblioteket.

I den stabile distribution (stretch), er disse problemer rettet i version 2.3.3-1+deb9u1. Denne opdatering hærder også RubyGems mod ondsindede terminal-escapesekvenser (CVE-2017-0899).

Vi anbefaler at du opgraderer dine ruby2.3-pakker.