Vulnérabilité du type symlink race dans FileUtils

Une faille de sécurité lié à une vulnérabilité du type symlink race a été découverte dans FileUtils.remove_entry_secure. Elle permet à des utilisateurs locaux de détruire des dossiers et fichiers.

Versions touchées

  • Ruby 1.8.6 patchlevel 420 et toutes les versions précédentes
  • Ruby 1.8.7 patchlevel 330 et toutes les versions précédentes
  • Versions de développement de Ruby 1.8 (1.8.8dev)
  • Ruby 1.9.1 patchlevel 430 et toutes les versions précédentes
  • Ruby 1.9.2 patchlevel 136 et toutes les versions précédentes
  • Versions de développement de Ruby 1.9 (1.9.3dev)

Solutions

Le problème a été corrigé. Tous les utilisateurs concernés sont encouragés à mettre à jour leur installation de Ruby.

Il faut toutefois noter que ce type de vulnérabilité ne peut être évité dans le cas où un dossier parent du dossier courant est détenu par quelqu'un en qui vous ne pouvez avoir confiance. Pour rester dans un cas totalement sécurisé, il faut vous assurer qu'aucun des dossiers parents ne peut être déplacé/modifié par quelqu'un de suspect.

Mises-à-jour