Une faille de sécurité de type ‘DoS’ ou ‘Denial of Service’ a été trouvée et corrigée dans Ruby. Cette vulnérabilité est liée à une mauvaise gestion des entrées utilisateurs de la part de BigDecimal. L’interpréteur peut alors compléter tomber. Un utilisateur mal intentionné peut alors se servir de cette faille pour faire planter n’importe quel programme Ruby utilisant un BigDecimal. La majeur des applications Ruby On Rails sont sensibles à cette information tant nombre d’entre elles utilisent un BigDecimal lors des entrées utilisateurs.
Il est très fortement recommandé de mettre à jour sa version de Ruby pour outrepasser ce problème. Si nous ne pouvez pas le faire, une gem est disponible ou pour les applications Ruby On Rails le fichier ‘bigdecimal-segfault-fix.rb’ doit être placé dans ‘config/initializers’, disponibles sur GitHub.com.
La prochaine version de Ruby On Rails (2.3.3) inclura un certain nombres de modifications afin de minimiser ce type d’attaques et plus particulièrement cette faille de sécurité.
Informations supplémentaires :
Pour les instructions de mise à jour et les informations concernant les versions de Ruby, veuillez consulter les annonces de l’équipe de sécurité Ruby.
Cette faille a été assigné au CVE sous le nom CVE-2009-1024
Les flux RSS :