Algumas vulnerabilidades de segurança no Ruby permitem ataques "denial of service (DoS)" ou execução arbitrária de código.

Impacto

As seguintes vulnerabilidades permitem ataques de DoS ou execução arbitrária de código.

Versões vulneráveis

1.8
  • 1.8.4 e todas as anteriores
  • 1.8.5-p230 e todas as anteriores
  • 1.8.6-p229 e todas as anteriores
  • 1.8.7-p21 e todas as anteriores
1.9
  • 1.9.0-1 e todas as anteriores

Solução

1.8
Actualizar para a versão 1.8.5-p231, ou 1.8.6-p230, ou 1.8.7-p22.
1.9
Actualizar para a versão 1.9.0-2.

Estas versões também corrigem a vulnerabilidade no WEBrick (CVE-2008-1891).

Note que um pacote binário que corrige este problema poderá já estar disponível a partir do seu software de gestão de aplicações.

Créditos

Os créditos vão para Drew Yao da Segurança de Produtos da Apple por dar a conhecer o problema à equipa de segurança do Ruby

Alterações

  • 2008-06-21 00:29 +09:00 removidos os CVE IDs incorrectos (CVE-2008-2727, CVE-2008-2728).