S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 mars 2012
N^o CERTA-2012-AVI-113

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans Ruby on Rails

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-113

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2012-AVI-113
Titre	Vulnérabilité dans Ruby on Rails
Date de la première version	05 mars 2012
Date de la dernière version	-
Source(s)	Notes de mise à jour Rails du 01 mars 2012
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Injection de code indirecte à distance.

Deux vulnérabilités permettant à une personne malintentionnée d'injecter indirectement du code à distance ont été découvertes dans Ruby on Rails.

Deux vulnérabilités ont été découvertes qui permettent à une personne malintentionnée de réaliser une injection de code indirecte à distance :

Une vulnérabilité a été découverte dans la méthode SafeBuffer de Ruby on Rails ;
Certaines données passées via des tags select options générés manuellement ne sont pas correctement filtrées.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Notes de mise à jour Rails du 01 mars 2012 :

http://weblog.rubyonrails.org/2012/3/1/ann-rails-3-2-2-has-been-released

CERTA
2012-03-06