Информация по безопасности / 2018 / Информация о безопасности -- DSA-4219-1 jruby

Рекомендация Debian по безопасности

DSA-4219-1 jruby -- обновление безопасности

Дата сообщения:

08.06.2018

Затронутые пакеты:

jruby

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 895778.
В каталоге Mitre CVE: CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.

Более подробная информация:

В jruby, реализации языка программирования Ruby на языке Java, было обнаружено несколько уязвимостей. Они позволяют злоумышленнику использовать специально сформированные gem-файлы для вызова атак через межсайтовый скриптинг, а также вызывать отказ в обслуживании из-за возникновения бесконечного цикла, запись произвольных файлов или запуск вредоносного кода.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.7.26-1+deb9u1.

Рекомендуется обновить пакеты jruby.

Кроме того, данное сообщение служит объявлением о том, что поддержка безопасности для jruby в предыдущем стабильном выпуске Debian 8 (jessie) прекращена.

Пользователям jruby в Debian 8, желающим получать обновления безопасности, настоятельно рекомендуется выполнить обновления до текущего стабильного выпуска Debian 9 (stretch).

С подробным статусом поддержки безопасности jruby можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/jruby