Deux vulnérabilités pour Ruby 1.9.1
Deux vulnérabilités ont été découvertes dans l'interpréteur du langage Ruby, avec la clé deux références CVE : CVE-2013-1821 et CVE-2013-4073.
La première est la découverte de Ben Murphy, il a découvert qu'une extension REXML peut conduire à un déni de service (DoS) en consommant toute la mémoire de la machine hôte. En ce qui concerne la seconde, trouvée par William Snow Orvis, il a relevé une vulnérabilité dans le processus de vérification du nom d'hôte dans le client SSL de Ruby, cela permettrait de pouvoir remplacer des serveurs SSL grâce à un certificat valide délivré par une autorité de certification de confiance.
Toutefois, ces vulnérabilités sont corrigées dans les versions suivantes :
- Debian Squeeze : Corrigé dans la version de Ruby 1.9.2.0-2+deb6u1.
- Debian Wheezy : Corrigé dans la version de Ruby 1.9.3.194-8.1+deb7u1.
- Debian Sid : Corrigé dans la version de Ruby 1.9.3.194-8.2.
Il est donc recommandé de mettre à jour votre interpréteur Ruby.