Vigil@nce : Ruby, multiples vulnérabilités
juin 2008 par Vigil@nce
SYNTHÈSE
Plusieurs vulnérabilités de Ruby conduisent à des dénis de service
ou à l’exécution de code.
Gravité : 3/4
Conséquences : accès/droits utilisateur, déni de service du service
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 23/06/2008
Référence : VIGILANCE-VUL-7905
PRODUITS CONCERNÉS
– Debian Linux [versions confidentielles]
– Unix - plateforme
DESCRIPTION
Le langage Ruby permet de créer des scripts orientés objet.
L’environnement Ruby est notamment composé d’un interpréteur de
langage et d’un service web. Six vulnérabilités affectent cet
environnement.
La vulnérabilité CVE-2008-2662 est inconnue. [grav:3/4 ;
CVE-2008-2662]
La vulnérabilité CVE-2008-2663 est inconnue. [grav:3/4 ;
CVE-2008-2663]
La vulnérabilité CVE-2008-2725 est inconnue. [grav:3/4 ;
CVE-2008-2725]
Plusieurs débordements d’entiers peuvent se produire dans array.c
(ary_new, rb_ary_initialize, rb_ary_store, rb_ary_aplice,
rb_ary_times). Une corruption de mémoire peut se produire dans
string.c (rb_enc_cr_str_buf_cat). [grav:3/4 ; CVE-2008-2726]
La vulnérabilité CVE-2008-2664 est inconnue. [grav:3/4 ;
CVE-2008-2664]
Sur un système de fichiers NTFS ou FAT, un attaquant peut lire le
contenu des fichiers CGI. [grav:2/4 ; CVE-2008-1891]
Ces vulnérabilités conduisent à des dénis de service ou à
l’exécution de code.
CARACTÉRISTIQUES
Références : BID-29903, CVE-2008-1891, CVE-2008-2662,
CVE-2008-2663, CVE-2008-2664, CVE-2008-2725, CVE-2008-2726, VIGILANCE-VUL-7905