Deux vulnérabilités pour Ruby 1.9.1

Deux vulnérabilités ont été découvertes dans l'interpréteur du langage Ruby, avec la clé deux références CVE : CVE-2013-1821 et CVE-2013-4073.

La première est la découverte de Ben Murphy, il a découvert qu'une extension REXML peut conduire à un déni de service (DoS) en consommant toute la mémoire de la machine hôte. En ce qui concerne la seconde, trouvée par William Snow Orvis, il a relevé une vulnérabilité dans le processus de vérification du nom d'hôte dans le client SSL de Ruby, cela permettrait de pouvoir remplacer des serveurs SSL grâce à un certificat valide délivré par une autorité de certification de confiance.

Toutefois, ces vulnérabilités sont corrigées dans les versions suivantes :

  • Debian Squeeze : Corrigé dans la version de Ruby 1.9.2.0-2+deb6u1.
  • Debian Wheezy : Corrigé dans la version de Ruby 1.9.3.194-8.1+deb7u1.
  • Debian Sid : Corrigé dans la version de Ruby 1.9.3.194-8.2.

Il est donc recommandé de mettre à jour votre interpréteur Ruby.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3131 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.