Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 juillet 2005

N° CERTA-2005-AVI-249

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Ruby

Gestion du document

Référence	CERTA-2005-AVI-249
Titre	Vulnérabilité de Ruby
Date de la première version	12 juillet 2005
Date de la dernière version	13 juillet 2005
Source(s)	Bulletin de sécurité Debian DSA-748 du 10 juillet 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de commandes arbitraires

Systèmes affectés

ruby 1.8.

Résumé

Une vulnérabilité dans ruby 1.8 permet à une personne distante mal intentionnée d'exécuter des commandes arbitraires.

Description

Ruby 1.8 est un langage interprété orienté objet.

Une vulnérabilité découverte dans le serveur xmlrpc de ruby permet à un utilisateur mal intentionné d'exécuter des commandes arbitraires à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA-748 du 10 juillet 2005

http://www.debian.org/security/2005/dsa-748

Annonce de sécurité Ruby du 01 juillet 2005 :

http://www.ruby-lang.org/en/20050701.html

Bulletin de sécurité Gentoo GLSA 200507-10 du 11 juillet 2005 :

http://www.gentoo.org/security/en/glsa/glsa-200507-10.xml

Bulletin de sécurité Mandriva MDKSA-2005:118 du 12 juillet 2005 :

http://www.mandriva.com/security/advisories?name=MDKSA-2005:118

Site Internet de Ruby :

http://www.ruby-lang.org

Gestion détaillée du document

le 12 juillet 2005: version initiale.
le 13 juillet 2005: ajout de la référence à l'annonce du correctif et des références aux bulletins de sécurité Gentoo et Mandriva.