S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 août 2008
N° CERTA-2008-AVI-430
Affaire suivie par: CERT-FR
le 27 août 2008

Avis du CERT-FR

Objet: Vulnérabilité dans Ruby

Gestion du document

Référence CERTA-2008-AVI-430
Titre Vulnérabilité dans Ruby
Date de la première version 27 août 2008
Date de la dernière version 27 août 2008
Source(s) Bulletin de sécurité Ruby du 23 août 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance.

Systèmes affectés

  • Ruby versions 1.8.6-p287 et antérieures ;
  • Ruby versions 1.8.7-p72 et antérieures ;
  • Ruby versions 1.9.x.

Résumé

Une vulnérabilité affectant une bibliothèque de Ruby permet de réaliser un déni de service à distance.

Description

Une vulnérabilité présente dans la bibliothèque REXML utilisé dans la sous-couche applicative Rails et permettant de manipuler les fichiers au format XML peut être exploitée à distance par un individu malveillant pour réaliser un déni de service par le biais d'un fichier au format XML spécialement conçu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 août 2008
    version initiale.