Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Ruby, multiples vulnerabilités

août 2008 par Vigil@nce

SYNTHÈSE

Plusieurs vulnérabilités ont été découvertes dans Ruby.

Gravité : 3/4

Conséquences : accès/droits privilégié, déni de service du service

Provenance : shell utilisateur

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 08/08/2008

Référence : VIGILANCE-VUL-8005

PRODUITS CONCERNÉS

 Unix - plateforme

DESCRIPTION

Le "Safe Level" est une variable permettant de régler le niveau de
paranoïa d’un programme. En Ruby certaines fonctions sont
exécutées avec un niveau insuffisant de vérification (Safe level
trop faible). [grav:1/4]

La librairie "dl" ne nettoie pas suffisement les requêtes reçues.
Cela peut entrainer une exécution de code. [grav:3/4]

Le module "WEBrick::HTTP::DefaultFileHandler" utilise un délai
exponentiel pour traiter les requêtes, cela est du à l’utilisation
d’une expression régulière dans un algorithme de
WEBrick::HTTPUtils.split_header_value. [grav:2/4]

Le fichier "resolv.rb" permet a un attaquant de spoofer les
requêtes DNS. [grav:2/4]

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-8005

https://vigilance.aql.fr/arbre/1/8005


Voir les articles précédents

    

Voir les articles suivants