Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4219-1 jruby

Aviso de seguridad de Debian

DSA-4219-1 jruby -- actualización de seguridad

Fecha del informe:

8 de jun de 2018

Paquetes afectados:

jruby

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 895778.
En el diccionario CVE de Mitre: CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.

Información adicional:

Se descubrieron varias vulnerabilidades en jruby, una implementación Java del lenguaje de programación Ruby. Estas vulnerabilidades permitirían que un atacante usara ficheros gem manipulados de una manera determinada para preparar ataques de cross site scripting, provocara denegación de servicio mediante un bucle infinito, escribiera ficheros arbitrarios o ejecutara código malicioso.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.7.26-1+deb9u1.

Le recomendamos que actualice los paquetes de jruby.

Adicionalmente, este mensaje sirve para anunciar que el soporte de seguridad para jruby en la distribución «antigua estable» Debian 8 (jessie) se ha discontinuado.

Recomendamos encarecidamente a los usuarios de jruby en Debian 8 que deseen actualizaciones de seguridad, el paso a la actual distribución «estable» Debian 9 (stretch).

Para información detallada sobre el estado de seguridad de jruby consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/jruby