Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3966-1 ruby2.3

Säkerhetsbulletin från Debian

DSA-3966-1 ruby2.3 -- säkerhetsuppdatering

Rapporterat den:

2017-09-05

Berörda paket:

ruby2.3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-9096, CVE-2016-7798, CVE-2017-0899, CVE-2017-0900, CVE-2017-0901, CVE-2017-0902, CVE-2017-14064.

Ytterligare information:

Flera sårbarheter har upptäckts i tolken av språket Ruby:

• CVE-2015-9096

  SMTP-kommandoinjicering i Net::SMTP.

• CVE-2016-7798

  Felaktig hantering av initieringsvektor i GCM-läget i OpenSSL-utökningen.

• CVE-2017-0900

  Överbelastning i RubyGems-klienten.

• CVE-2017-0901

  Potentiell filöverskrivning i RubyGems-klienten.

• CVE-2017-0902

  DNS-kapning i RubyGems-klienten.

• CVE-2017-14064

  Avslöjande av heapminne i JSON-biblioteket.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.3.3-1+deb9u1. Denna uppdatering härdar även RubyGems mot illasinnad terminal-escapesekvenser (CVE-2017-0899).

Vi rekommenderar att ni uppgraderar era ruby2.3-paket.