Рекомендация Debian по безопасности
DSA-4259-1 ruby2.3 -- обновление безопасности
- Дата сообщения:
- 31.07.2018
- Затронутые пакеты:
- ruby2.3
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
- Более подробная информация:
-
В интерпретаторе языка Ruby было обнаружено несколько уязвимостей, которые могут приводить к неправильной обработке HTTP/FTP, обходу каталога, введению команд, непреднамеренному созданию сокетов или раскрытию информации.
Кроме того, данное обновление исправляет несколько проблем в RubyGems, которые могут позволить злоумышленнику использовать специально сформированный gem-архив для выполнения межсайтового скриптинга, вызова отказа в обслуживании из-за возникновения бесконечного цикла, записи произвольных файлов или запуска вредоносного кода.
В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.3.3-1+deb9u3.
Рекомендуется обновить пакеты ruby2.3.
С подробным статусом поддержки безопасности ruby2.3 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ruby2.3