Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Ruby : deux vulnérabilités

février 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer deux vulnérabilités de Ruby, afin de
modifier une variable ou d’effacer un fichier.

Gravité : 2/4

Date création : 21/02/2011

PRODUITS CONCERNÉS

 Microsoft Windows - plateforme
 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Deux vulnérabilités ont été annoncées dans Ruby.

Le niveau $SAFE 4 interdit la modification d’une chaîne globale.
Cependant, une exception convertie en string permet de modifier
une chaîne globale. [grav:2/4 ; BID-46458, CVE-2011-1005]

Un attaquant peut employer un lien symbolique, afin de forcer la
méthode FileUtils.remove_entry_secure() à effacer un fichier ou un
répertoire. [grav:1/4 ; BID-46460, CVE-2011-1004]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Ruby-deux-vulnerabilites-10383


Voir les articles précédents

    

Voir les articles suivants