Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 juin 2012

N° CERTA-2012-AVI-306

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Ruby on Rails

Gestion du document

Référence	CERTA-2012-AVI-306
Titre	Vulnérabilités dans Ruby on Rails
Date de la première version	05 juin 2012
Date de la dernière version	05 juin 2012
Source(s)	Annonces de mises à jour de sécurité de Ruby on Rails du 31 mai 2012

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection SQL

Systèmes affectés

Ruby on Rails 3.0.x ;
Ruby on Rails 3.1.x ;
Ruby on Rails 3.2.x.

Résumé

Deux vulnérabilités permettant à une personne malintentionnée d'effectuer des injections SQL ont été corrigées dans Ruby on Rails.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de publication Ruby on Rails 3.0.13 : /

http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-0-13-has-been-released

Annonce de publication Ruby on Rails 3.1.5 : /

http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-1-5-has-been-released

Annonce de publication Ruby on Rails 3.2.4 : /

http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-2-4-has-been-released

Référence CVE CVE-2012-2660

https://www.cve.org/CVERecord?id=CVE-2012-2660

Référence CVE CVE-2012-2661

https://www.cve.org/CVERecord?id=CVE-2012-2661

Gestion détaillée du document

le 05 juin 2012: version initiale.