Les sites développés avec Ruby à la merci de cinq failles majeures
Alerte pour tous les sites web développés avec Ruby. Les versions 1.8 et 1.9 de ce langage de développement génèrent cinq failles d'envergure qui exposent les sites à l'exécution intempestive de code malicieux et à des dénis de service. Selon les spécialistes de la sécurité de la société Matasano, elles seraient d'une facilité déconcertante à exploiter. Autrement dit réellement dangereuses.
Plus inquiétant encore, Matasano constate que l'application des rustines n'est pas automatique. Elle requiert un peu de discernement. A tel point que, malgré la gravité des failles, la firme conseille d'attendre quelques jours avant de se lancer dans une mise à jour. On doit la découverte de ces failles à Drew Yao, membre de l'Apple Product Security.
Selon les sources, Ruby serait à l'origine de moins de 5 à 10% des sites web. Un écart qu'expliquent ses promoteurs par sa rapide montée en puissance. Les failles de sécurité des sites sont une engeance. Selon le projet Common Vulnerabilities and Exposures (CVE), elles arrivent en tête des menaces. En 2006, un autre langage de développement de site, le PHP, avait été impliqué dans 43% des failles découvertes pendant cette année. Né en 1995, Ruby est un langage open source d'origine japonaise qui fait le succès de la suite de développement Ruby on Rails.