Bulletin d'alerte Debian

DSA-4259-1 ruby2.3 -- Mise à jour de sécurité

Date du rapport :
31 juillet 2018
Paquets concernés :
ruby2.3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby qui pourraient avoir pour conséquence un traitement incorrect de HTTP/FTP, une traversée de répertoires, l'injection de commandes, la création non intentionnelle de sockets ou la divulgation d'informations.

Cette mise à jour corrige aussi plusieurs problèmes dans RubyGems qui pourraient permettre à un attaquant d'utiliser des fichiers gem contrefaits pour l'occasion pour monter des attaques par script intersite, provoquer un déni de service à l'aide d'une boucle infinie, écrire des fichiers arbitraires, ou exécuter du code malveillant.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.3.3-1+deb9u3.

Nous vous recommandons de mettre à jour vos paquets ruby2.3.

Pour disposer d'un état détaillé sur la sécurité de ruby2.3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby2.3.