Risques
- Déni de service à distance
- Injection de code indirecte à distance
Systèmes affectés
- versions antérieures à Ruby on Rails 2.3.18
- versions antérieures à Ruby on Rails 3.1.12 (pour la branche 3.1)
- Versions antérieures à Ruby on Rails 3.2.13 (pour la branche 3.2)
Résumé
De multiples vulnérabilités ont été corrigées dans Ruby on Rails. Elles permettent à un attaquant de provoquer un déni de service à distance et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby on Rails du 18 mars 2013 http://weblog.rubyonrails.org/2013/3/18/SEC-ANN-Rails-3-2-13-3-1-12-and-2-3-18-have-been-released/
- Référence CVE CVE-2013-1854 https://www.cve.org/CVERecord?id=CVE-2013-1854
- Référence CVE CVE-2013-1855 https://www.cve.org/CVERecord?id=CVE-2013-1855
- Référence CVE CVE-2013-1856 https://www.cve.org/CVERecord?id=CVE-2013-1856
- Référence CVE CVE-2013-1857 https://www.cve.org/CVERecord?id=CVE-2013-1857
