[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2017/dsa-4031.wml

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le
langage Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE)
identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-0898";>CVE-2017-0898</a>

<p>aerodudrizzt a signalé une vulnérabilité de sous-exécution de tampon
dans la méthode sprintf du module du noyau avec pour conséquence une
corruption de mémoire de tas ou une divulgation d'informations à partir du
tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-0903";>CVE-2017-0903</a>

<p>Max Justicz a signalé que RubyGems est prédisposé à une vulnérabilité de
désérialisation d'objet non sûre. Lors de son analyse par une application
qui traite des « gems », une spécification de gem au format YAML
contrefaite pour l'occasion peut conduire à l'exécution de code distant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10784";>CVE-2017-10784</a>

<p>Yusuke Endoh a découvert une vulnérabilité d'injection de séquence
d'échappement dans l'authentification basique de WEBrick. Un attaquant peut
tirer avantage de ce défaut pour injecter des séquences d'échappement
malveillantes dans le journal de XEBrick et éventuellement exécuter des
caractères de contrôle sur l'émulateur de terminal de la victime lors de
la lecture de journaux.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14033";>CVE-2017-14033</a>

<p>asac a signalé une vulnérabilité de sous-exécution de tampon dans
l'extension OpenSSL. Un attaquant distant peut tirer avantage de ce défaut
pour provoquer le plantage de l'interpréteur Ruby menant à un déni de
service.</p></li>

</ul>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 2.3.3-1+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby2.3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-4031.data"
# $Id: dsa-4031.wml,v 1.1 2017/11/12 09:02:23 jipege1-guest Exp $
Reply to: