Vigil@nce - Ruby : répétabilité des aléas
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’une application Ruby crée des processus fils, leurs aléas
générés peuvent être identiques.
Gravité : 1/4
Date création : 11/07/2011
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Ruby possède plusieurs générateurs aléatoires : Kernel::rand(),
Random::rand() et SecureRandom::random_bytes().
Ils sont automatiquement ensemencés ("seed") au démarrage de
l’application. Cependant, lorsque l’application crée un processus
fils, le générateur est ré-ensemencé avec uniquement le pid du
processus. Etant donné que sous Unix, les numéros pid sont limités
à 64k cycliques, deux processus fils peuvent obtenir la même
graine aléatoire.
Lorsqu’une application Ruby crée des processus fils, leurs aléas
générés peuvent donc être identiques.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Ruby-repetabilite-des-aleas-10826