Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Ruby, multiples vulnerabilités

août 2008 par Vigil@nce

SYNTHÈSE

Plusieurs vulnérabilités ont été découvertes dans Ruby.

Gravité : 3/4

Conséquences : accès/droits privilégié, déni de service du service

Provenance : shell utilisateur

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 08/08/2008

Référence : VIGILANCE-VUL-8005

PRODUITS CONCERNÉS

- Unix - plateforme

DESCRIPTION

Le "Safe Level" est une variable permettant de régler le niveau de paranoïa d’un programme. En Ruby certaines fonctions sont exécutées avec un niveau insuffisant de vérification (Safe level trop faible). [grav:1/4]

La librairie "dl" ne nettoie pas suffisement les requêtes reçues. Cela peut entrainer une exécution de code. [grav:3/4]

Le module "WEBrick ::HTTP ::DefaultFileHandler" utilise un délai exponentiel pour traiter les requêtes, cela est du à l’utilisation d’une expression régulière dans un algorithme de WEBrick ::HTTPUtils.split_header_value. [grav:2/4]

Le fichier "resolv.rb" permet a un attaquant de spoofer les requêtes DNS. [grav:2/4]

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-8005

https://vigilance.aql.fr/arbre/1/8005




Voir les articles précédents

    

Voir les articles suivants