Debians sikkerhedsbulletin

DSA-4259-1 ruby2.3 -- sikkerhedsopdatering

Rapporteret den:
31. jul 2018
Berørte pakker:
ruby2.3
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Yderligere oplysninger:

Flere sårbarheder er opdaget i fortolkeren af sproget Ruby, hvilke kunne medføre ukorrekt behandling af HTTP/FTP, mappegennemløb, kommandoindsprøjtning, utilsigtet oprettelse af socket eller informationsafsløring.

Opdateringen retter også flere problemer i RubyGems, hvilke kunne gøre det muligt for en angriber, at anvende særligt fremstillede gem-filer til at iværksætte angreb i forbindelse med udførelse af skripter på tværs af websteder, forårsage lammelsesangreb gennem en uendelig løkke, skrive vilkårlige filer eller køre ondsindet kode.

I den stabile distribution (stretch), er disse problemer rettet i version 2.3.3-1+deb9u3.

Vi anbefaler at du opgraderer dine ruby2.3-pakker.

For detaljeret sikkerhedsstatus vedrørende ruby2.3, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby2.3