Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4721-1 ruby2.5

Bulletin d'alerte Debian

DSA-4721-1 ruby2.5 -- Mise à jour de sécurité

Date du rapport :

8 juillet 2020

Paquets concernés :

ruby2.5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-10663, CVE-2020-10933.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby.

• CVE-2020-10663

  Jeremy Evans a signalé une vulnérabilité de création d'objet non sûr dans le module (« gem ») JSON empaqueté avec Ruby. Lors de l'analyse de certains documents JSON, le module JSON peut être contraint à créer des objets arbitraires dans le système cible.

• CVE-2020-10933

  Samuel Williams a signalé un défaut dans la bibliothèque de socket qui pourrait conduire à une fuite de données éventuellement sensibles issues de l'interpréteur.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.5.5-3+deb10u2.

Nous vous recommandons de mettre à jour vos paquets ruby2.5.

Pour disposer d'un état détaillé sur la sécurité de ruby2.5, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby2.5.