Ruby 1.9 vulnérable à un déni de service par collision sur le hachage (CVE-2012-5371)

Une attaque a été découverte pour réaliser un déni de service par collision sur la fonction de hachage des chaînes de caractères utilisée par les versions 1.9 de Ruby. Cette vulnérabilité est différente de CVS-2011-4815 pour Ruby 1.8.7. Tous les utilisateurs de Ruby 1.9 sont encouragés à mettre à jour vers ruby-1.9.3 patchlevel 327 pour bénéficier du correctif de sécurité.

Impact

Une séquence de chaînes de caractères soigneusement choisies peut provoquer une attaque de type déni de service sur une application qui lit cette séquence pour créer un objet Hash en utilisant ces chaînes de caractères comme clés. Notamment, cette vulnérabilité touche les applications web qui analysent des données JSON provenant d'une source non-maîtrisée.

Détails

Le reste de cet article est manquant. Voir la version originale anglaise pour plus d’informations.