Une attaque a été découverte pour réaliser un déni de service par collision sur la fonction de hachage des chaînes de caractères utilisée par les versions 1.9 de Ruby. Cette vulnérabilité est différente de CVS-2011-4815 pour Ruby 1.8.7. Tous les utilisateurs de Ruby 1.9 sont encouragés à mettre à jour vers ruby-1.9.3 patchlevel 327 pour bénéficier du correctif de sécurité.
Impact
Une séquence de chaînes de caractères soigneusement choisies peut provoquer une attaque de type déni de service sur une application qui lit cette séquence pour créer un objet Hash en utilisant ces chaînes de caractères comme clés. Notamment, cette vulnérabilité touche les applications web qui analysent des données JSON provenant d'une source non-maîtrisée.
RD syntax error: line 4: …Les versions 1.9 de Ruby utilisaient ((<"la fonction de hashage MurmurHash"|URL:https://sites.google.com/site/murmurhash/>)) modifiée mais il a été remonté qu'(<"il était possible de créer une séquence de chaînes de caractères dont les valeurs hashées par cette fonction entreraient en collision entre elles"|URL:http://2012.appsec-forum.ch/conferences/#c17 >)) . … ^^^
Posté par Bruno Michel le 2012-11-11