Bulletin d'alerte Debian

DSA-4219-1 jruby -- Mise à jour de sécurité

Date du rapport :
8 juin 2018
Paquets concernés :
jruby
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 895778.
Dans le dictionnaire CVE du Mitre : CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans jruby, une implémentation en Java du langage de programmation Ruby. Elles pourraient permettre à un attaquant d'utiliser des fichiers gem contrefaits pour l'occasion pour monter des attaques par script intersite, provoquer un déni de service au moyen d'une boucle infinie, écrire des fichiers arbitraires ou exécuter du code malveillant.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.7.26-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets jruby.

En complément, ce message sert aussi à annoncer que le suivi de sécurité de jruby dans la version Debian 8 oldstable (Jessie) est désormais terminé.

Les utilisateurs de jruby dans Debian 8 qui souhaitent bénéficier de mises à jour de sécurité sont fortement encouragés à procéder maintenant une mise à niveau vers la distribution Debian 9 stable actuelle (Stretch).

Pour disposer d'un état détaillé sur la sécurité de jruby, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jruby.