{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Pour la vuln\u00e9rabilit\u00e9 sur la m\u00e9thode  <TT>Exception#to_s</TT> :  <UL>    <LI>Ruby versions 1.8.6 niveau de patch 420 et pr\u00e9c\u00e9dentes    ;</LI>    <LI>Ruby versions 1.8.7 niveau de patch 330 et pr\u00e9c\u00e9dentes    ;</LI>    <LI>Ruby versions de d\u00e9veloppement 1.8 (1.8.8dev).</LI>  </UL>  <P>Pour la vuln\u00e9rabilit\u00e9 sur la m\u00e9thode  <TT>FileUtils.remove_entry_secure</TT> :</P>  <UL>    <LI>Ruby versions 1.8.6 niveau de patch 420 et pr\u00e9c\u00e9dentes    ;</LI>    <LI>Ruby versions 1.8.7 niveau de patch 330 et pr\u00e9c\u00e9dentes    ;</LI>    <LI>Ruby versions de d\u00e9veloppement 1.8 (1.8.8dev) ;</LI>    <LI>Ruby versions 1.9.1 niveau de patch 430 et pr\u00e9c\u00e9dentes    ;</LI>    <LI>Ruby versions 1.9.2 niveau de patch 136 et pr\u00e9c\u00e9dentes    ;</LI>    <LI>Ruby versions de d\u00e9veloppement 1.9 (1.9.3dev).</LI>  </UL></p>","content":"## Description\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 touche la m\u00e9thode to_s de la classe Exception.\nCelle-ci permet \u00e0 un attaquant de d\u00e9jouer le m\u00e9canisme de s\u00e9curit\u00e9\npermettant la s\u00e9paration des donn\u00e9es issues de sources ext\u00e9rieures au\nprogramme. La seconde vuln\u00e9rabilit\u00e9 affecte la m\u00e9thode\nremove_entry_secure de la classe FileUtils. Celle-ci cause une situation\nde comp\u00e9tition (race condition), qui permet \u00e0 une personne malveillante\nd'utiliser des liens symboliques pour forcer la suppression de fichiers\nou de r\u00e9pertoires sur le syst\u00e8me.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2011-1005","url":"https://www.cve.org/CVERecord?id=CVE-2011-1005"},{"name":"CVE-2011-1004","url":"https://www.cve.org/CVERecord?id=CVE-2011-1004"}],"links":[],"reference":"CERTA-2011-AVI-101","revisions":[{"description":"version initiale ;","revision_date":"2011-02-22T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences CVE.","revision_date":"2011-03-22T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Deux vuln\u00e9rabilit\u00e9s dans Ruby ont \u00e9t\u00e9 corrig\u00e9es. La premi\u00e8re permet de\ncontourner la politique de s\u00e9curit\u00e9 et la seconde de porter atteinte \u00e0\nl'int\u00e9grit\u00e9 des donn\u00e9es.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Ruby","vendor_advisories":[{"published_at":null,"title":"Notes de mise \u00e0 jour Ruby du 18 f\u00e9vrier 2011","url":"http://www.ruby-lang.org/en/news/2011/02/18/fileutils-is-vulnerable-to-symlink-race-attacks/"}]}