Aviso de seguridad de Debian

DSA-4259-1 ruby2.3 -- actualización de seguridad

Fecha del informe:
31 de jul de 2018
Paquetes afectados:
ruby2.3
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Información adicional:

Se han descubierto varias vulnerabilidades en el intérprete del lenguaje de programación Ruby que podrían dar lugar a procesamiento incorrecto de HTTP/FTP, escalado de directorios, inyección de órdenes, creación no intencionada de sockets o revelación de información.

Esta actualización corrige también varios problemas en RubyGems que podrían permitir que un atacante usara ficheros gem modificados de una manera determinada para llevar a cabo ataques de cross site scripting, provocar denegación de servicio a través de un bucle infinito, escribir ficheros arbitrarios o ejecutar código malicioso.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 2.3.3-1+deb9u3.

Le recomendamos que actualice los paquetes de ruby2.3.

Para información detallada sobre el estado de seguridad de ruby2.3 consulte su página del sistema de seguimiento de problemas de seguridad en: https://security-tracker.debian.org/tracker/ruby2.3