 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 12 août
2008
No CERTA-2008-AVI-402 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Ruby
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-402 |
| Titre |
Multiples
vulnérabilités dans Ruby |
| Date de la première
version |
12 août 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Mise à jour des versions
Ruby du 08 et 11 août 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire ;
- déni de service à distance ;
- élévation de privilèges.
- Ruby 1.8.6 pour les versions antérieures à
1.8.6-p287 ;
- Ruby 1.8.7 pour les versions antérieures à
1.8.7-p72 ;
- Ruby 1.9 pour la version r18423 ainsi que celles
antérieures.
Plusieurs vulnérabilités ont été
identifiées dans Ruby. Les conséquences de
l'exploitation de ces dernières sont variées.
Plusieurs vulnérabilités ont été
identifiées dans Ruby :
- certaines concernent les niveaux de sûreté
dans Ruby, dont des méthodes comme
untrace_var() qui ne devraient pas être
autorisées à certains niveaux ou la variable
$PROGRAM_NAME modifiable au niveau 4 ;
- une mauvaise manipulation des en-têtes HTTP par
WEBrick, et en particulier dans la fonction
WEBrick::HTTPUtils.split_header_value() ;
- un mauvais contrôle des appels de fonctions par la
bibliothèque DL (dynamic
linker).
- une mauvaise génération d'aléas par
resolv.rb pour les échanges DNS concernant
les identifiants de transactions ou le choix des ports
sources.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 12 août 2008
- version initiale.
CERTA
2012-01-04
|
|
)
