Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
- Ruby on Rails versions 3.2.X antérieures à 3.2.22.2
- Ruby on Rails versions 4.0.x
- Ruby on Rails versions 4.1.x antérieures à 4.1.14.2
- Ruby on Rails versions 4.2.x antérieures à 4.2.5.2
Résumé
De multiples vulnérabilités ont été corrigées dans Ruby On Rails. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby On Rails [CVE-2016-2097] du 29 février 2016 /we0RasMZIAAJ#!msg/rubyonrails-security/ddY6HgqB2z4/we0RasMZIAAJ https://groups.google.com/forum/?_escaped_fragment_=msg/rubyonrails-security/ddY6HgqB2z4
- Bulletin de sécurité Ruby On Rails [CVE-2016-2098] du 29 février 2016 _Q/WLoOhcMZIAAJ#!msg/rubyonrails-security/ly-IH-fxr_Q/WLoOhcMZIAAJ https://groups.google.com/forum/?_escaped_fragment_=msg/rubyonrails-security/ly-IH-fxr
- Référence CVE CVE-2016-2097 https://www.cve.org/CVERecord?id=CVE-2016-2097
- Référence CVE CVE-2016-2098 https://www.cve.org/CVERecord?id=CVE-2016-2098