Bulletin d'alerte Debian

DSA-4721-1 ruby2.5 -- Mise à jour de sécurité

Date du rapport :
8 juillet 2020
Paquets concernés :
ruby2.5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10663, CVE-2020-10933.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby.

  • CVE-2020-10663

    Jeremy Evans a signalé une vulnérabilité de création d'objet non sûr dans le module (« gem ») JSON empaqueté avec Ruby. Lors de l'analyse de certains documents JSON, le module JSON peut être contraint à créer des objets arbitraires dans le système cible.

  • CVE-2020-10933

    Samuel Williams a signalé un défaut dans la bibliothèque de socket qui pourrait conduire à une fuite de données éventuellement sensibles issues de l'interpréteur.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2.5.5-3+deb10u2.

Nous vous recommandons de mettre à jour vos paquets ruby2.5.

Pour disposer d'un état détaillé sur la sécurité de ruby2.5, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby2.5.