Multiples vulnérabilités dans Ruby on Rails

Gestion du document

Référence	CERTFR-2021-AVI-115
Titre	Multiples vulnérabilités dans Ruby on Rails
Date de la première version	11 février 2021
Date de la dernière version	11 février 2021
Source(s)	Bulletin de sécurité Ruby on Rails du 11 février 2021 Bulletin de sécurité Ruby on Rails du 11 février 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Déni de service à distance
Contournement de la politique de sécurité

Systèmes affectés

Ruby on Rails versions 4.2.0 à 5.2.x antérieures à 5.2.4.5
Ruby on Rails versions 6.0 antérieures à 6.0.3.5
Ruby on Rails versions 6.1 antérieures à 6.1.2.1

Résumé

De multiples vulnérabilités ont été découvertes dans Ruby on Rails. Elles permettent à un attaquant de provoquer un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ruby on Rails du 11 février 2021
https://groups.google.com/g/rubyonrails-security/c/zN_3qA26l6E
Bulletin de sécurité Ruby on Rails du 11 février 2021
https://groups.google.com/g/rubyonrails-security/c/ZzUqCh9vyhI
Référence CVE CVE-2021-22880
https://www.cve.org/CVERecord?id=CVE-2021-22880
Référence CVE CVE-2021-22881
https://www.cve.org/CVERecord?id=CVE-2021-22881

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Ruby on Rails