Avis du CERT-FR

Objet: Vulnérabilité dans Ruby

Gestion du document

Référence	CERTA-2009-AVI-232
Titre	Vulnérabilité dans Ruby
Date de la première version	12 juin 2009
Date de la dernière version	12 juin 2009
Source(s)	Bulletin de mise à jour Ruby du 09 juin 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

Ruby versions antérieures aux versions 1.8.6-p369 et 1.8.7-p173.

Résumé

Une vulnérabilité permettant de réaliser un déni de service a été découverte dans l'interpréteur Ruby.

Description

Une vulnérabilité a été découverte dans l'interpréteur Ruby. Cette vulnérabilité résulte d'une erreur dans la bibliothèque BigDecimal et peut être exploitée afin de réaliser un déni de service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de mise à jour Ruby du 09 juin 2009

http://www.ruby-lang.org/en/news/2009/06/09/dos-vulnerability-in-bigdecimal/

Référence CVE CVE-2009-1904

https://www.cve.org/CVERecord?id=CVE-2009-1904

Gestion détaillée du document

le 12 juin 2009: version initiale.