Vulnerabilidades de segurança no Ruby

25 de Junho de 2008, 0:00, por Software Livre Brasil - 0sem comentários ainda

Algumas vulnerabilidades de segurança no Ruby permitem ataques "denial of service (DoS)" ou execução arbitrária de código.

Impacto

<!-- RDLabel: "Impacto" -->

As seguintes vulnerabilidades permitem ataques de DoS ou execução arbitrária de código.

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

Versões vulneráveis

<!-- RDLabel: "Versões vulneráveis" -->

1.8

<!-- RDLabel: "1.8" -->

• 1.8.4 e todas as anteriores
• 1.8.5-p230 e todas as anteriores
• 1.8.6-p229 e todas as anteriores
• 1.8.7-p21 e todas as anteriores

1.9

<!-- RDLabel: "1.9" -->

• 1.9.0-1 e todas as anteriores

Solução

<!-- RDLabel: "Solução" -->

1.8

<!-- RDLabel: "1.8" -->

Actualizar para a versão 1.8.5-p231, ou 1.8.6-p230, ou 1.8.7-p22.

• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

1.9

<!-- RDLabel: "1.9" -->

Actualizar para a versão 1.9.0-2.

• <URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

Estas versões também corrigem a vulnerabilidade no WEBrick (CVE-2008-1891).

Note que um pacote binário que corrige este problema poderá já estar disponível a partir do seu software de gestão de aplicações.

Créditos

<!-- RDLabel: "Créditos" -->

Os créditos vão para Drew Yao da Segurança de Produtos da Apple por dar a conhecer o problema à equipa de segurança do Ruby

Alterações

<!-- RDLabel: "Alterações" -->

• 2008-06-21 00:29 +09:00 removidos os CVE IDs incorrectos (CVE-2008-2727, CVE-2008-2728).