{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Ruby 1.9 pour la version r18423 ainsi que celles ant\u00e9rieures.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Ruby 1.8.7 pour les versions ant\u00e9rieures \u00e0 1.8.7-p72 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Ruby 1.8.6 pour les versions ant\u00e9rieures \u00e0 1.8.6-p287 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans Ruby :\n\n1.  certaines concernent les niveaux de s\u00fbret\u00e9 dans Ruby, dont des\n    m\u00e9thodes comme untrace_var() qui ne devraient pas \u00eatre autoris\u00e9es \u00e0\n    certains niveaux ou la variable \\$PROGRAM_NAME modifiable au niveau\n    4 ;\n2.  une mauvaise manipulation des en-t\u00eates HTTP par WEBrick, et en\n    particulier dans la fonction WEBrick::HTTPUtils.split_header_value()\n    ;\n3.  un mauvais contr\u00f4le des appels de fonctions par la biblioth\u00e8que DL\n    (dynamic linker).\n4.  une mauvaise g\u00e9n\u00e9ration d'al\u00e9as par resolv.rb pour les \u00e9changes DNS\n    concernant les identifiants de transactions ou le choix des ports\n    sources.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2008-1447","url":"https://www.cve.org/CVERecord?id=CVE-2008-1447"}],"links":[{"title":"Annonce des changements pour la branche 1.8 de Ruby :","url":"http://www.ruby-lang.org/en/news/2008/08/11/ruby-1-8-7-p72-and-1-8-6-p287-released/"},{"title":"Annonce des vuln\u00e9rabilit\u00e9s Ruby publi\u00e9e le 08 et le 11 ao\u00fbt    2008 :","url":"http://www.ruby-lang.org/en/news/2008/08/08/multiples-vulnerabilities-in-ruby/"}],"reference":"CERTA-2008-AVI-402","revisions":[{"description":"version initiale.","revision_date":"2008-08-12T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans Ruby. Les cons\u00e9quences\nde l'exploitation de ces derni\u00e8res sont vari\u00e9es.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Ruby","vendor_advisories":[{"published_at":null,"title":"Mise \u00e0 jour des versions Ruby du 08 et 11 ao\u00fbt 2008","url":null}]}