Vulnérabilité de Ruby

Gestion du document

Référence	CERTA-2005-AVI-249-001
Titre	Vulnérabilité de Ruby
Date de la première version	12 juillet 2005
Date de la dernière version	13 juillet 2005
Source(s)	Bulletin de sécurité Debian DSA-748 du 10 juillet 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de commandes arbitraires.

Systèmes affectés

ruby 1.8.

Résumé

Une vulnérabilité dans ruby 1.8 permet à une personne distante mal intentionnée d'exécuter des commandes arbitraires.

Description

Ruby 1.8 est un langage interprété orienté objet.

Une vulnérabilité découverte dans le serveur xmlrpc de ruby permet à un utilisateur mal intentionné d'exécuter des commandes arbitraires à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet de Ruby :
```
http://www.ruby-lang.org
```
Annonce de sécurité Ruby du 01 juillet 2005 :
```
http://www.ruby-lang.org/en/20050701.html
```
Bulletin de sécurité Debian DSA-748 du 10 juillet 2005 :
```
http://www.debian.org/security/2005/dsa-748
```
Bulletin de sécurité Gentoo GLSA 200507-10 du 11 juillet 2005 :
```
http://www.gentoo.org/security/en/glsa/glsa-200507-10.xml
```
Bulletin de sécurité Mandriva MDKSA-2005:118 du 12 juillet 2005 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2005:118
```

Référence CVE CAN-2005-1992 :

https://www.cve.org/CVERecord?id=CAN-2005-1992

Gestion détaillée du document

le 12 juillet 2005: version initiale.

le 13 juillet 2005: ajout de la référence à l'annonce du correctif et des références aux bulletins de sécurité Gentoo et Mandriva.

Avis du CERT-FR

Objet: Vulnérabilité de Ruby