Problème de sécurité pour Ruby on Rail

La structure d’applications web populaire Ruby on Rails est à présent aussi aux prises avec un problème de sécurité qui est qualifié de critique.

L’entreprise de sécurité belge Zion Security annonce qu’un problème de sécurité a été découvert dans la structure d’applications web populaire Ruby on Rails. Concrètement, il s’agit d’une faiblesse (CVE-2013-0156) dans la manière dont les saisies sont traitées dans une application, ce qui permet à des cyber-malfaiteurs d’éviter les systèmes d’authentification et d’introduire des données malfaisantes (avec, entre autres, injection SQL ou des attaques ‘déni de service’). Une conséquence directe de ce point faible, c’est le risque que des informations sous-jacentes soient dérobées.

La brèche est qualifiée de ‘critique’ sur le forum de sécurité Ruby on Rails, parce que toutes les versions sont manifestement vulnérables. Sur le forum, l’on trouve des ‘workarounds’ recommandant surtout – à l’instigation de Zion – de désactiver la fonction ‘XML parsing’ si elle ne s’avère pas nécessaire pour faire tourner l’application. Si ce n’est pas possible, il faut alors à coup sûr désactiver la fonction ‘YAML and Symbol type conversion’ à partir de l’analyseur syntaxique (‘parser’) (avec des indications sur la manière d’y arriver pour un certain nombre de versions). Comme cette faiblesse est déjà largement connue, il est en tout recommandé de prendre sans tarder (“immediately”) les mesures qui s’imposent.