Scriptorama.nl

Een tijdje geleden hadden we de Month of PHP Bugs, maar deze keer is het Ruby die er van langs krijgt. Het Security Team van Apple heeft namelijk 5 serieuze lekken in Ruby gevonden.

De officiele aankondiging van deze lekken vind je op Ruby-Lang.org.

Multiple vulnerabilities in Ruby may lead to a denial of service (DoS) condition or allow execution of arbitrary code.

Impact
With the following vulnerabilities, an attacker can lead to denial of service condition or execute arbitrary code.

Wat is er precies aan de hand?

Het is niet geheel duidelijk wat de problemen nu precies zijn. De links die het artikeltje geeft leiden naar pagina's waar nog geen informatie op staat. Een korte Google actie geeft echter het Matasano Chargen - Information Security weblog, die wat meer informatie hebben gevonden, simpelweg door door de SVN commits te lezen:

The CVE descriptions are just in “reserved” state, no details at all yet. So, we took a quick stroll over to the ruby subversion tracker and poked around a bit to look for some clues. Clue 1, Drew Yao of Apple Product Security apparently found this stuff. Credit goes to him:

Warning, viewing these patches may not be suitable for young adults and small children. Ominous stuff here.

Revision 17460
* array.c (ary_new, rb_ary_initialize, rb_ary_store, rb_ary_aplice, rb_ary_times): integer overflows should be checked. based on patches from Drew Yao fixed CVE-2008-2726
* string.c (rb_enc_cr_str_buf_cat): fixed unsafe use of alloca, which led memory corruption. based on a patch from Drew Yao fixed CVE-2008-2726

… ouch!

Geen lullige problemen. De mensen van Matasano leggen uit waarom dit een serieus probleem is en laten zien hoe deze problemen naar boven kunnen komen met enkele simpele regels Ruby code.

Zoals je misschien opmerkt bespreekt dit alleen CVE-2008-2726, wat de andere 4 security issues nu precies inhouden is nog niet duidelijk.

Kwetsbaarheid & Downloads

De versies 1.8.7-p21 (en eerder) en 1.9.0-1 (en eerder) zijn allemaal kwetsbaar voor de 6 problemen. Gefixte versies zijn inmiddels beschikbaar.