Bulletin d'alerte Debian
DSA-4721-1 ruby2.5 -- Mise à jour de sécurité
- Date du rapport :
- 8 juillet 2020
- Paquets concernés :
- ruby2.5
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-10663, CVE-2020-10933.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby.
- CVE-2020-10663
Jeremy Evans a signalé une vulnérabilité de création d'objet non sûr dans le module (« gem ») JSON empaqueté avec Ruby. Lors de l'analyse de certains documents JSON, le module JSON peut être contraint à créer des objets arbitraires dans le système cible.
- CVE-2020-10933
Samuel Williams a signalé un défaut dans la bibliothèque de socket qui pourrait conduire à une fuite de données éventuellement sensibles issues de l'interpréteur.
Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.5.5-3+deb10u2.
Nous vous recommandons de mettre à jour vos paquets ruby2.5.
Pour disposer d'un état détaillé sur la sécurité de ruby2.5, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby2.5.
- CVE-2020-10663