Risque
- Déni de service à distance
Systèmes affectés
Ruby 1.8.5 et versions antérieures.
Résumé
Deux vulnérabilités dans Ruby permettent à un utilisateur distant malintentionné de provoquer un déni de service.
Description
Ruby est un langague interprété orienté objet.
Deux vulnérabilités découvertes dans le fichier cgi.rb permettent à un utilisateur malintentionné de provoquer un déni de service à distance au moyen de requêtes HTTP spécialement construites. Le déni de service se traduit par une consommation excessive du temps processeur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1234 du 13 décembre 2006 : http://www.debian.org/security/2006/dsa-1234
- Bulletin de sécurité Debian DSA-1235 du 13 décembre 2006 : http://www.debian.org/security/2006/dsa-1235
- Bulletin de sécurité Gentoo GLSA-200611-12 du 20 novembre 2006 : http://www.gentoo.org/security/en/glsa/glsa-200611-12.xml
- Bulletin de sécurité Gentoo GLSA-200612-21 du 20 décembre 2006 : http://www.gentoo.org/security/en/glsa/glsa-200612-21.xml
- Bulletin de sécurité Mandriva MDKSA-2006:192 du 27 octobre 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:192
- Bulletin de sécurité Mandriva MDKSA-2006:225 du 06 décembre 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:225
- Bulletin de sécurité Red Hat RHSA-2006:0729 du 08 novembre 2006 : http://rhn.redhat.com/errata/RHSA-2006-0729.html
- Bulletin de sécurité Ruby du 04 décembre 2006 : http://www.ruby-lang.org/en/news/2006/12/04/another-dos-vulnerability-in-cgi-library/
- Bulletin de sécurité SuSE SUSE-SR:2006:026 du 17 novembre 2006 : http://lists.suse.com/archive/suse-security-announce/2006-Nov/0008.html
- Bulletin de sécurité SuSE SUSE-SR:2007:004 du 16 mars 2006 : http://lists.suse.com/archive/suse-security-announce/2007-Mar/0005.html
- Bulletin de sécurité Ubuntu USN-371-1 du 31 octobre 2006 : http://www.ubuntu.com/usn/usn-371-1
- Bulletin de sécurité Ubuntu USN-394-1 du 08 décembre 2006 : http://www.ubuntu.com/usn/usn-394-1
- Référence CVE CVE-2006-5467 https://www.cve.org/CVERecord?id=CVE-2006-5467
- Référence CVE CVE-2006-6303 https://www.cve.org/CVERecord?id=CVE-2006-6303