L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Ruby : multiples vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités de Ruby conduisent à des dénis de service ou à l'exécution de code.
Produits impactés : Debian, Fedora, Mandriva Linux, openSUSE, RHEL, Slackware, Unix (plateforme) ~ non exhaustif.
Gravité de ce bulletin : 3/4.
Nombre de vulnérabilités dans ce bulletin : 6.
Date de création : 23/06/2008.
Date de révision : 25/06/2008.
Références de cette menace : BID-29903, CERTA-2008-AVI-342, CVE-2008-1891, CVE-2008-2662, CVE-2008-2663, CVE-2008-2664, CVE-2008-2725, CVE-2008-2726, CVE-2008-2727-REJECT, CVE-2008-2728-REJECT, DSA-1612-1, DSA-1618-1, FEDORA-2008-5649, FEDORA-2008-5664, MDVSA-2008:140, MDVSA-2008:141, MDVSA-2008:142, RHSA-2008:0561-01, RHSA-2008:0562-01, SSA:2008-179-01, SUSE-SR:2008:017, VIGILANCE-VUL-7905.

Description de la vulnérabilité 

Le langage Ruby permet de créer des scripts orientés objet. L'environnement Ruby est notamment composé d'un interpréteur de langage et d'un service web. Six vulnérabilités affectent cet environnement.

Un attaquant peut provoquer une corruption de mémoire dans la fonction rb_str_buf_append() de string.c. [grav:3/4; CERTA-2008-AVI-342, CVE-2008-2662]

Un attaquant peut provoquer plusieurs débordements d'entiers dans la fonction rb_ary_store() de array.c. [grav:3/4; CVE-2008-2663]

Un attaquant peut générer un débordement d'entier dans la fonction rb_ary_splice() via REALLOC_N. [grav:3/4; CVE-2008-2725, CVE-2008-2727-REJECT]

Un attaquant peut générer un débordement d'entier dans la fonction rb_ary_splice() via "beg + rlen". [grav:3/4; CVE-2008-2726, CVE-2008-2728-REJECT]

Un attaquant peut provoquer une corruption de mémoire dans la fonction rb_str_format() de string.c. [grav:3/4; CVE-2008-2664]

Sur un système de fichiers NTFS ou FAT, un attaquant peut lire le contenu des fichiers CGI. [grav:2/4; CVE-2008-1891]

Ces vulnérabilités conduisent à des dénis de service ou à l'exécution de code.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de faille concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, openSUSE, RHEL, Slackware, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de menace informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 6 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille informatique.

Solutions pour cette menace 

Ruby : versions 1.8.5-p231, 1.8.6-p230, 1.8.7-p22 et 1.9.0-2.
Les versions 1.8.5-p231, 1.8.6-p230, 1.8.7-p22 et 1.9.0-2 sont corrigées :
  ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz
    md5sum: e900cf225d55414bffe878f00a85807c
  ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz
    md5sum: 5e8247e39be2dc3c1a755579c340857f
  ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz
    md5sum: fc3ede83a98f48d8cb6de2145f680ef2
  ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz
    md5sum: 2a848b81ed1d6393b88eec8aa6173b75

Debian : nouveaux paquetages ruby1.8.
De nouveaux paquetages sont disponibles :
    http://security.debian.org/pool/updates/main/r/ruby1.8/*_1.8.5-4etch2_*.deb

Debian : nouveaux paquetages ruby1.9.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/r/ruby1.9/*_1.9.0+20060609-1etch2_*.deb

Debian : patch pour Ruby.
Un patch non officiel est disponible pour le code source.

Fedora : nouveaux paquetages ruby.
De nouveaux paquetages sont disponibles :
  ruby-1.8.6.230-1.fc8
  ruby-1.8.6.230-1.fc9

Mandriva : nouveaux paquetages ruby.
De nouveaux paquetages sont disponibles :
  Mandriva Linux 2008.1: ruby-1.8.6-9p114.1mdv2008.1
  Mandriva Linux 2008.0: ruby-1.8.6-5.2mdv2008.0
  Mandriva Linux 2007.1: ruby-1.8.5-5.2mdv2007.1
  Corporate 4.0: ruby-1.8.2-7.7.20060mlcs4
  Corporate 3.0: ruby-1.8.1-1.10.C30mdk

RHEL 2.1, 3 : nouveaux paquetages ruby.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1 : ruby-1.6.4-6.el2
Red Hat Enterprise Linux version 3: ruby-1.6.8-12.el3

RHEL 4, 5 : nouveaux paquetages ruby.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: ruby-1.8.1-7.el4_6.1
Red Hat Enterprise Linux version 5: ruby-1.8.5-5.el5_2.3

Slackware : nouveaux paquetages ruby.
De nouveaux paquetages sont disponibles :
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/ruby-1.8.6_p230-i486-1_slack11.0.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/ruby-1.8.6_p230-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/ruby-1.8.6_p230-i486-1_slack12.1.tgz

SUSE : nouveaux paquetages.
De nouveaux paquetages sont disponibles.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité de système. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.