Risque
- Atteinte à la confidentialité des donnéss ;
- exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Ruby versions 1.8.4 et antérieures ;
- Ruby versions 1.8.5-p230 et antérieures ;
- Ruby versions 1.8.6-p229 et antérieures ;
- Ruby versions 1.8.7-p21 et antérieures ;
- Ruby versions 1.9.0-1 et antérieures.
Résumé
Plusieurs vulnérabilités dans Ruby permettent à un utilisateur distant de porter atteinte à la confidentialité des données, de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Plusieurs vulnérabilités sont présentes dans l'interpréteur Ruby ou des classes de base Ruby associées :
- la première est relative à certains composants WEBrick qui, sous certaines conditions, permettent à un utilisateur distant de porter atteinte à la confidentialité des données utilisées par l'application web s'appuyant sur ces composants ;
- la deuxième concerne plusieurs failles de type débordement d'entiers dans certaines fonctions de Ruby. Elle permet à un utilisateur distant de provoquer un déni de service via des paramètres de longueur excessive ;
- la dernière est dûe à une erreur dans certaines fonctions d'allocations de mémoire et permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby du 20 juin 2008 :
http://www.ruby-lang.org/en/news/2008/06/20/arbitrary-code-execution-vulnerabilities
- Référence CVE CVE-2008-2662 :
https://www.cve.org/CVERecord?id=CVE-2008-2662
- Référence CVE CVE-2008-2663 :
https://www.cve.org/CVERecord?id=CVE-2008-2663
- Référence CVE CVE-2008-2725 :
https://www.cve.org/CVERecord?id=CVE-2008-2725
- Référence CVE CVE-2008-2726 :
https://www.cve.org/CVERecord?id=CVE-2008-2726
- Référence CVE CVE-2008-2664 :
https://www.cve.org/CVERecord?id=CVE-2008-2664
