Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Ruby on Rails versions antérieures à 2.3.17
- Ruby on Rails versions antérieures à 3.1.11
- Ruby on Rails versions antérieures à 3.2.12
Résumé
De multiples vulnérabilités ont été corrigées dans Ruby on Rails . Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby on Rails du 11 février 2013 http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/
- Référence CVE CVE-2013-0269 https://www.cve.org/CVERecord?id=CVE-2013-0269
- Référence CVE CVE-2013-0276 https://www.cve.org/CVERecord?id=CVE-2013-0276
- Référence CVE CVE-2013-0277 https://www.cve.org/CVERecord?id=CVE-2013-0277
