Debians sikkerhedsbulletin

DSA-4721-1 ruby2.5 -- sikkerhedsopdatering

Rapporteret den:
8. jul 2020
Berørte pakker:
ruby2.5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-10663, CVE-2020-10933.
Yderligere oplysninger:

Flere sårbarheder er opdaget i fortolkningsprogrammet til sproget Ruby.

  • CVE-2020-10663

    Jeremy Evans rapporterede om en sårbarhed i forbindelse med oprettelse af usikre objekter i json-gem, som distribueres med Ruby. Ved fortolkning af visse JSON-dokumenter, som kan blive tvunget til at oprette vilkårlige objekter på målsystemet.

  • CVE-2020-10933

    Samuel Williams rapporterede om en fejl i socket-biblioteket, som kunne føre til udstilling af muligvis følsomme data fra fortolkningsprorgammet.

I den stabile distribution (buster), er disse problemer rettet i version 2.5.5-3+deb10u2.

Vi anbefaler at du opgraderer dine ruby2.5-pakker.

For detaljeret sikkerhedsstatus vedrørende ruby2.5, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/ruby2.5