La version 3.2.16 du framework livrée mardi corrige en particulier deux vulnérabilités dites cross site scripting ou XSS et un problème exposant à un déni de service. Elle renforce aussi un patch précédent qui corrigeait une faille sur la génération de requête. Les deux vulnérabilités XSS, identifiées par les références CVE-2013-4491 et CVE-2013-6415, sont localisées dans un composant gérant le processus d'internationalisation et dans le module Number_to_Currency Helper. Elles permettent de lancer une attaque cross-site en envoyant une entrée de code ciblant les applications vulnérables.

La faille exposant à un déni de service (CVE-2013-6414) est située dans l'en-tête qui gère le composant Action View et permet à un attaquant de forcer une application à mettre en cache des lignes de code visant spécifiquement les en-têtes. Le cache peut alors croître indéfiniment jusqu'à utiliser toute la mémoire disponible sur le serveur.

La version 4.0.2 a aussi été livrée mardi

L'autre faille de sécurité corrigée par cette mise à jour (CVE-2013-6417) peut être exploitée pour contourner l'action du correctif livré en janvier dernier, et qui était censé résoudre un problème identifié par la référence CVE-2013-0155 et lié à la génération de requêtes. « Le correctif précédent était incomplet car l'utilisation de bibliothèques tierces courantes pouvaient accidentellement contourner la protection », a expliqué l'équipe de sécurité de Ruby on Rails. La vulnérabilité CVE-2013-0155 elle-même est une variante de deux autres vulnérabilités identifiées par les références CVE-2012-2660 et CVE-2012-2694, patchées en 2012, ce qui laisse penser que l'équipe de développement de Rails essaye de corriger ce problème depuis un certain temps.

Mardi, l'éditeur a également livré la version 4.0.2 de Ruby on Rails. Elle bénéficie des mêmes corrections que la version 3.2.16. Une autre faille XSS (CVE-2013-6416) n'affectant que les versions de la série 4.0 est également corrigée. Elle se trouve dans le module Simple_Format Helper.

Ces dernières années, le framework de développement d'applications web Ruby on Rails est devenu très populaire dans la communauté des développeurs et il est déjà utilisé pour de très gros sites Internet, comme Hulu, Scribd, Kickstarter et GitHub. Mais les pirates ont aussi montré qu'ils s'intéressaient à Rails. En mai dernier, des chercheurs en sécurité ont découvert qu'une vulnérabilité de Rails avait été exploitée pour compromettre des serveurs et pour créer un réseau de zombies.