Posté par Bruno Michel le 2012-11-11
Une attaque a été découverte pour réaliser un déni de service par collision sur la fonction de hachage des chaînes de caractères utilisée par les versions 1.9 de Ruby. Cette vulnérabilité est différente de CVE-2011-4815 pour Ruby 1.8.7. Tous les utilisateurs de Ruby 1.9 sont encouragés à mettre à jour vers ruby-1.9.3 patchlevel 327 pour bénéficier du correctif de sécurité.
Impact
Une séquence de chaînes de caractères soigneusement choisies peut provoquer une attaque de type déni de service sur une application qui lit cette séquence pour créer un objet Hash en utilisant ces chaînes de caractères comme clés. Notamment, cette vulnérabilité touche les applications web qui analysent des données JSON provenant d'une source non-maîtrisée.
Détails
Le reste de cet article est manquant. Voir la version originale anglaise pour plus d’informations.