Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3966-1 ruby2.3

Bulletin d'alerte Debian

DSA-3966-1 ruby2.3 -- Mise à jour de sécurité

Date du rapport :

5 septembre 2017

Paquets concernés :

ruby2.3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-9096, CVE-2016-7798, CVE-2017-0899, CVE-2017-0900, CVE-2017-0901, CVE-2017-0902, CVE-2017-14064.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby :

• CVE-2015-9096

  injection de commande SMTP dans Net::SMTP ;

• CVE-2016-7798

  traitement incorrect du vecteur d'initialisation dans le mode GCM de l'extension d'OpenSSL ;

• CVE-2017-0900

  déni de service dans le client RubyGems ;

• CVE-2017-0901

  écrasement de fichier potentiel dans le client RubyGems ;

• CVE-2017-0902

  détournement de DNS dans le client RubyGems ;

• CVE-2017-14064

  divulgation de mémoire de tas dans la bibliothèque JSON.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.3.3-1+deb9u1. Cette mise à jour durcit également RubyGems contre les suites d'échappement de terminal malveillantes (CVE-2017-0899).

Nous vous recommandons de mettre à jour vos paquets ruby2.3.