Risque
Exécution de code arbitraire en local.
Systèmes affectés
Ruby version 1.8.2 et versions antérieures.
Description
Le mécanisme de niveau de sécurité de l'interpréteur de script Ruby est vulnérable. Un utilisateur mal-intentionné peut ainsi exécuter du code arbitraire en se dégageant de toutes les restrictions dues au mécanisme de niveau de sécurité.
Solution
La version 1.8.3 corrige cette vulnérabilité. Pour mettre à jour, consulter le site de l'éditeur (cf. Documentation). Sous Gentoo, utiliser emerge comme suit :
# emerge --sync # emerge --ask --oneshot --verbose ``>=dev-lang/ruby-1.8.3''
Documentation
- Bulletin de l'éditeur :
http://www.ruby-lang.org/en/20051003.html
- Bulletin de sécurité Gentoo GLSA 200510-05 du 06 octobre 2005 :
http://security.gentoo.org/glsa/glsa-200510-05.xml
- Bulletin de sécurité RedHat RHSA-2005-799 du 11 octobre 2005 :
http://rhn.redhat.com/errata/RHSA-2005-799.html
- Bulletin de sécurité Mandriva MDKSA-2006:079 du 25 avril 2006 :
http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:079
- Bulletin de sécurité Debian DSA-860 du 11 octobre 2005 :
http://www.debian.org/security/2005/dsa-860
- Bulletin de sécurité Debian DSA-862 du 11 octobre 2005 :
http://www.debian.org/security/2005/dsa-862
- Bulletin de sécurité Debian DSA-864 du 13 octobre 2005 :
http://www.debian.org/security/2005/dsa-864
- Bulletin de sécurité Ubuntu USN-195-1 du 10 octobre 2005 :
http://www.ubuntu.com/usn/usn-195-1
- Bulletin de sécurité Ubuntu USN-273-1 du 24 avril 2006 :
http://www.ubuntu.com/usn/usn-273-1
- Bulletin de sécurité RedHat RHSA-2006-0427 du 09 mai 2006 :
https://rhn.redhat.com/errata/RHSA-2006-0427.html
- Référence CVE CAN-2005-2337 :
https://www.cve.org/CVERecord?id=CAN-2005-2337
- Référence CVE CAN-2006-1931 :
https://www.cve.org/CVERecord?id=CAN-2006-1931
