Vigil@nce - Ruby : deux vulnérabilités
février 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités de Ruby, afin de
modifier une variable ou d’effacer un fichier.
Gravité : 2/4
Date création : 21/02/2011
PRODUITS CONCERNÉS
– Microsoft Windows - plateforme
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans Ruby.
Le niveau $SAFE 4 interdit la modification d’une chaîne globale.
Cependant, une exception convertie en string permet de modifier
une chaîne globale. [grav:2/4 ; BID-46458, CVE-2011-1005]
Un attaquant peut employer un lien symbolique, afin de forcer la
méthode FileUtils.remove_entry_secure() à effacer un fichier ou un
répertoire. [grav:1/4 ; BID-46460, CVE-2011-1004]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Ruby-deux-vulnerabilites-10383