Risque(s)
- Déni de service à distance
- Contournement de la politique de sécurité
Systèmes affectés
- Ruby on Rails versions 4.2.0 à 5.2.x antérieures à 5.2.4.5
- Ruby on Rails versions 6.0 antérieures à 6.0.3.5
- Ruby on Rails versions 6.1 antérieures à 6.1.2.1
Résumé
De multiples vulnérabilités ont été découvertes dans Ruby on Rails. Elles permettent à un attaquant de provoquer un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ruby on Rails du 11 février 2021
https://groups.google.com/g/rubyonrails-security/c/zN_3qA26l6E - Bulletin de sécurité Ruby on Rails du 11 février 2021
https://groups.google.com/g/rubyonrails-security/c/ZzUqCh9vyhI - Référence CVE CVE-2021-22880
https://www.cve.org/CVERecord?id=CVE-2021-22880 - Référence CVE CVE-2021-22881
https://www.cve.org/CVERecord?id=CVE-2021-22881