Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Ruby : répétabilité des aléas

juillet 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’une application Ruby crée des processus fils, leurs aléas
générés peuvent être identiques.

Gravité : 1/4

Date création : 11/07/2011

PRODUITS CONCERNÉS

 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Ruby possède plusieurs générateurs aléatoires : Kernel::rand(),
Random::rand() et SecureRandom::random_bytes().

Ils sont automatiquement ensemencés ("seed") au démarrage de
l’application. Cependant, lorsque l’application crée un processus
fils, le générateur est ré-ensemencé avec uniquement le pid du
processus. Etant donné que sous Unix, les numéros pid sont limités
à 64k cycliques, deux processus fils peuvent obtenir la même
graine aléatoire.

Lorsqu’une application Ruby crée des processus fils, leurs aléas
générés peuvent donc être identiques.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Ruby-repetabilite-des-aleas-10826


Voir les articles précédents

    

Voir les articles suivants