Ruby

Deux vulnérabilités ont été découvertes dans l’interpréteur du langage Ruby, avec la clé deux références CVE : CVE-2013-1821 et CVE-2013-4073. La première est la découverte de Ben Murphy, il a découvert qu’une extension REXML peut conduire à un déni de service (DoS) en consommant toute la mémoire de la machine hôte. En ce qui concerne la seconde, trouvée par William Snow Orvis, il a relevé une vulnérabilité dans le processus de vérification du nom d’hôte dans le client SSL de Ruby, cela permettrait de pouvoir remplacer des serveurs SSL grâce à un certificat valide délivré par une autorité de certification de confiance. Toutefois, ces vulnérabilités sont corrigées dans les versions suivantes : Debian Squeeze : Corrigé dans la version de Ruby 1.9.2.0-2+deb6u1. Debian Wheezy : Corrigé dans la version de Ruby 1.9.3.194-8.1+deb7u1. Debian Sid : Corrigé dans la version de Ruby 1.9.3.194-8.2. Il est donc recommandé de mettre à jour votre interpréteur Ruby.