Plusieurs vulnérabilités ont été découvertes dans ruby2.3, un interpréteur de script du langage Ruby orienté objet.
Dans RDoc 3.11 jusqu’à la version 6.x avant la version 6.3.1, comme fourni avec Ruby jusqu’à la version 2.3.3, il est possible d’exécuter du code arbitraire à l’aide de « | » et de balises dans un nom de fichier.
Un problème a été découvert dans Ruby jusqu’à la version 2.3.3. Un serveur FTP malveillant peut utiliser la réponse PASV pour amener Net::FTP à se reconnecter à une adresse IP et un port donnés. Cela potentiellement conduit curl à extraire des informations sur des services qui sont privées et non sujettes à divulgation (par exemple, un attaquant peut réaliser un balayage de ports et des extractions de bannière de service).
Un problème a été découvert dans Ruby jusqu’à la version 2.3.3. Net::IMAP ne lève pas d’exception quand StartTLS échoue lors d’une réponse inconnue. Cela pourrait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position du réseau entre le client et le registre pour bloquer la commande StartTLS, c’est-à-dire une « StartTLS stripping attack ».
Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 2.3.3-1+deb9u10.
Nous vous recommandons de mettre à jour vos paquets ruby2.3.
Pour disposer d'un état détaillé sur la sécurité de ruby2.3, veuillez consulter sa page de suivi de sécurité à l'adresse : \ https://security-tracker.debian.org/tracker/ruby2.3.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.