Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans l'interpréteur pour le langage Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-0898";>CVE-2017-0898</a> <p>aerodudrizzt a signalé une vulnérabilité de sous-exécution de tampon dans la méthode sprintf du module du noyau avec pour conséquence une corruption de mémoire de tas ou une divulgation d'informations à partir du tas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-0903";>CVE-2017-0903</a> <p>Max Justicz a signalé que RubyGems est prédisposé à une vulnérabilité de désérialisation d'objet non sûre. Lors de son analyse par une application qui traite des « gems », une spécification de gem au format YAML contrefaite pour l'occasion peut conduire à l'exécution de code distant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10784";>CVE-2017-10784</a> <p>Yusuke Endoh a découvert une vulnérabilité d'injection de séquence d'échappement dans l'authentification basique de WEBrick. Un attaquant peut tirer avantage de ce défaut pour injecter des séquences d'échappement malveillantes dans le journal de XEBrick et éventuellement exécuter des caractères de contrôle sur l'émulateur de terminal de la victime lors de la lecture de journaux.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14033";>CVE-2017-14033</a> <p>asac a signalé une vulnérabilité de sous-exécution de tampon dans l'extension OpenSSL. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le plantage de l'interpréteur Ruby menant à un déni de service.</p></li> </ul> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.3.3-1+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby2.3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-4031.data" # $Id: dsa-4031.wml,v 1.1 2017/11/12 09:02:23 jipege1-guest Exp $
