SYNTHÈSE

Plusieurs vulnérabilités de Ruby conduisent à des dénis de service
ou à l’exécution de code.

Gravité : 3/4

Conséquences : accès/droits utilisateur, déni de service du service

Provenance : document

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 23/06/2008

Référence : VIGILANCE-VUL-7905

PRODUITS CONCERNÉS

– Debian Linux [versions confidentielles]

– Unix - plateforme

DESCRIPTION

Le langage Ruby permet de créer des scripts orientés objet.
L’environnement Ruby est notamment composé d’un interpréteur de
langage et d’un service web. Six vulnérabilités affectent cet
environnement.

La vulnérabilité CVE-2008-2662 est inconnue. [grav:3/4 ;
CVE-2008-2662]

La vulnérabilité CVE-2008-2663 est inconnue. [grav:3/4 ;
CVE-2008-2663]

La vulnérabilité CVE-2008-2725 est inconnue. [grav:3/4 ;
CVE-2008-2725]

Plusieurs débordements d’entiers peuvent se produire dans array.c
(ary_new, rb_ary_initialize, rb_ary_store, rb_ary_aplice,
rb_ary_times). Une corruption de mémoire peut se produire dans
string.c (rb_enc_cr_str_buf_cat). [grav:3/4 ; CVE-2008-2726]

La vulnérabilité CVE-2008-2664 est inconnue. [grav:3/4 ;
CVE-2008-2664]

Sur un système de fichiers NTFS ou FAT, un attaquant peut lire le
contenu des fichiers CGI. [grav:2/4 ; CVE-2008-1891]

Ces vulnérabilités conduisent à des dénis de service ou à
l’exécution de code.

CARACTÉRISTIQUES

Références : BID-29903, CVE-2008-1891, CVE-2008-2662,
CVE-2008-2663, CVE-2008-2664, CVE-2008-2725, CVE-2008-2726, VIGILANCE-VUL-7905

https://vigilance.aql.fr/arbre/1/7905