Vulnérabilité dans Ruby
le 19 décembre 2013
Une vulnérabilité a été corrigée dans Ruby. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Il est recommandé de mettre à jour Ruby vers une version 1.9.3 patchlevel 484, 2.0.0 patchlevel 353 ou 2.1.0 preview2.
Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
Systèmes affectés
- Ruby versions 1.8
- Ruby versions antérieures à 1.9.3 patch 484
- Ruby versions antérieures à 2.0.0 patch 353
- Ruby versions antérieures à 2.1.0 preview 1
Documentation
- Bulletin de sécurité Ruby du 22 novembre 2013 : https://www.ruby-lang.org/en/news/2013/11/22/heap-overflow-in-floating-point-parsing-cve-2013-4164/
- Référence CVE CVE-2013-4164 : cve.mitre.org/cgi-bin/cvename.cgi Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-647
