Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Serveurs zombies : une vulnérabilité de Ruby on Rail activement exploitée
Pourtant le correctif existe

Le , par Cedric Chevalier, Expert éminent sénior
Le facteur humain constitue toujours le maillon faible dans la chaîne de sécurité d’une entreprise ou d’une organisation.

Alors que des correctifs de sécurité pour la vulnérabilité CVE-2013-0156 qui a affecté le framework web de développement populaire Ruby on Rail est disponible depuis le mois de janvier, tous les administrateurs des sites Web ne l’ont pas utilisé.

En bref, la vulnérabilité exposée dans le CVE-2013-0156 permet à un hacker distant d’avoir accès au démon cron (il s’agit d’un service qui permet de planifier l’exécution de commandes à un temps spécifique dans le monde Unix/Linux) d’un serveur cible.

Ce dernier planifie, grâce à un jeu de commandes, le téléchargement d’un fichier écrit en langage C qui sera compilé dans la machine cible (dans le cas où la compilation échoue sur le serveur cible, un binaire malicieux précompilé, est téléchargé après le fichier source).

L’exécutable ainsi créé va ensuite se connecter au hacker distant en utilisant le protocole IRC (utilisé pour la messagerie instantanée), de qui il pourra recevoir des instructions spécifiques.

Afin d’éviter les désagréments que peuvent causer cette vulnérabilité, les administrateurs sont invités à utiliser les versions 3.2.11, 3.1.10, 3.0.19 et 2.3.15 du framework ou alors mettre à jour tout simplement leurs frameworks.

Source : liste de discussion GitHub

Et vous ?

Exécutez-vous une version vulnérable du framework ? Si oui, pourquoi ne l'aviez-vous pas mis à jour ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 31/05/2013 à 10:49
Cela ne m'étonne même pas...
Quand on voit en parallèle que des hébergements ne proposent rien de mieux à l'heure actuelle que du PHP 5.0 alors qu'on en est à du PHP 5.4 depuis un bon moment...
Et encore je viens pas troller... J'aurai pu parler des serveurs PHP 4... Oups je l'ai fait...
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil