Vulnerabilidades de segurança no Ruby

2008-06-25

Algumas vulnerabilidades de segurança no Ruby permitem ataques "denial of service (DoS)" ou execução arbitrária de código.

Impacto

As seguintes vulnerabilidades permitem ataques de DoS ou execução arbitrária de código.

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

Versões vulneráveis

1.8

• 1.8.4 e todas as anteriores
• 1.8.5-p230 e todas as anteriores
• 1.8.6-p229 e todas as anteriores
• 1.8.7-p21 e todas as anteriores

1.9

• 1.9.0-1 e todas as anteriores

Solução

1.8

Actualizar para a versão 1.8.5-p231, ou 1.8.6-p230, ou 1.8.7-p22.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

1.9

Actualizar para a versão 1.9.0-2.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

Estas versões também corrigem a vulnerabilidade no WEBrick (CVE-2008-1891).

Note que um pacote binário que corrige este problema poderá já estar disponível a partir do seu software de gestão de aplicações.

Créditos

Os créditos vão para Drew Yao da Segurança de Produtos da Apple por dar a conhecer o problema à equipa de segurança do Ruby

Alterações

• 2008-06-21 00:29 +09:00 removidos os CVE IDs incorrectos (CVE-2008-2727, CVE-2008-2728).