![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR08-209 Ruby - Sårbarheter i Ruby
Fem sårbarheter som kan leda till att godtycklig kod exekveras har upptäckts i Ruby.
Problembeskrivning
CVE-referens: CVE-2008-2662 CVE-2008-2663 CVE-2008-2725 CVE-2008-2726 CVE-2008-2664
Ruby är ett programmeringsspråk som blivit allt populärare under senare år. Mycket tack vare "Ruby on Rails", vilket är ett ramverket för webbapplikationer.
Interpretatorn innehåller ett antal sårbarheter som kan medge att godtycklig kod exekveras, eller att applikationen kraschar. Om en webbapplikation är skriven i Ruby kan en extern användare utnyttja sårbarheterna.
Genom att uppgradera till version 1.8.5-p231, 1.8.6-p230, 1.8.7-p22 eller 1.9.0-2 avhjälps problemet.
Drew Yao på Apple Product Security upptäckte sårbarheterna.
Påverkade versioner
- Ruby 1.8.4 eller tidigare
- Ruby 1.8.5-p230 eller tidigare
- Ruby 1.8.6-p229 eller tidigare
- Ruby 1.8.7-p21 eller tidigare
- Ruby 1.9.0-1 eller tidigare
Mer information och programrättningar
http://www.ruby-lang.org/en/news/2008/06/20/arbitrary-code-execution-vulnerabilities/
http://www.securityfocus.com/bid/29903
http://www.frsirt.com/english/advisories/2008/1907
http://www.securitytracker.com/alerts/2008/Jun/1020347.html
http://www.securityfocus.com/brief/761
http://www.matasano.com/log/1070/updates-on-drew-yaos-terrible-ruby-vulnerabilities/