Рекомендация Debian по безопасности

DSA-4259-1 ruby2.3 -- обновление безопасности

Дата сообщения:
31.07.2018
Затронутые пакеты:
ruby2.3
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Более подробная информация:

В интерпретаторе языка Ruby было обнаружено несколько уязвимостей, которые могут приводить к неправильной обработке HTTP/FTP, обходу каталога, введению команд, непреднамеренному созданию сокетов или раскрытию информации.

Кроме того, данное обновление исправляет несколько проблем в RubyGems, которые могут позволить злоумышленнику использовать специально сформированный gem-архив для выполнения межсайтового скриптинга, вызова отказа в обслуживании из-за возникновения бесконечного цикла, записи произвольных файлов или запуска вредоносного кода.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.3.3-1+deb9u3.

Рекомендуется обновить пакеты ruby2.3.

С подробным статусом поддержки безопасности ruby2.3 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ruby2.3