Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Ruby cgi.rb : Vulnérabilité de Déni de Service

22/01/2007 03H41
Référence Secunia : SA13123 
Date de publication : 2004-11-08
Dernière mise à jour : 2006-12-12

Risque : Non Critique. Niveau 2 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Ruby 1.8.x

Référence CVE :
CVE-2006-6303


Description :
Deux vulnérabilités ont été identifiées dans Ruby, qui pourraient être exploitées par des personnes malintentionnées pour causer un Déni de Service (DoS).

1) Une erreur de validation des données en entrée dans "cgi.rb" pourrait être exploitée pour consommer une grande partie des ressources CPU en envoyant une requête HTTP POST spécialement conçue.

2) Une erreur non spécifiée dans "cgi.rb" lors du traitement de certaines requêtes HTTP pourrait être exploitée pour consommer une grande partie des ressources CPU en envoyant une requête HTTP spécialement conçue.


Solutions :
Mettre à jour pour 1.8.5-p2.


Vulnérabilité découverte par :

Vulnérabilité découverte par l'éditeur.
Historique :
2006-10-27: Previous patch est incomplete. Section "Solution" mise à jour, ajouté new link et CVE reference.
2006-12-04: Section "Solution" mise à jour. Ajout d'informations on la seconde vulnérabilité.
2006-12-12: Référence CVE ajoutée.

Référence :
Ruby:
CVE-2006-5467 http://www.ruby-lang.org/en/news/2006/12/04/another-dos-vulnerability-in-cgi-library/

http://www.debian.org/security/2004/dsa-586
http://rubyforge.org/pipermail/mongrel-users/2006-Octobre/001946.html


Autres références :

JVN:
http://jvn.jp/jp/JVN%2384798830/index.html






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.