Säkerhetsbulletin från Debian

DSA-4259-1 ruby2.3 -- säkerhetsuppdatering

Rapporterat den:
2018-07-31
Berörda paket:
ruby2.3
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-17405, CVE-2017-17742, CVE-2017-17790, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079.
Ytterligare information:

Flera sårbarheter har upptäckts i tolken för språket Ruby, vilket kan resultera i felaktig behandling av HTTP/FTP, katalogtraversering, kommandoinjicering, oavsiktligt skapande av sockets eller utlämnande av information.

Denna uppdatering rättar även flera problem i RubyGems som kunde tillåta en angripare att använda especiellt skapade gem-filer för att montera sajtöverskridande skriptangrepp, orsaka överbelastning genom en oändlig loop, skriva godtyckliga filer eller köra illasinnad kod.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.3.3-1+deb9u3.

Vi rekommenderar att ni uppgraderar era ruby2.3-paket.

För detaljerad säkerhetsstatus om ruby2.3 vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ruby2.3