Sign in Subscribe
By Jean-Marc BIAUDIS in RubyGems

Deux failles critiques corrigées dans RubyGems sur Ubuntu

Le gestionnaire de paquets Ruby de Canonical vient de recevoir deux correctifs de sécurité back-to-back après la découverte de vulnérabilités qui pouvaient faire planter l'outil ou ouvrir la voie à un déni de service. L'alerte USN-7735-1, publiée ce jour, détaille les impacts et les versions concernées.

CVE-2023-28755 : une expression régulière qui croque le système

La première faille, référencée CVE-2023-28755, résulte d'une mauvaise gestion de certaines expressions régulières complexes. En soumettant une gemme « piégée » contenant une regexp malveillante, un attaquant peut déclencher une boucle infinie ou un crash au sein du processus RubyGems, le forçant à consommer 100 % du CPU puis à se faire tuer par le内核. Ubuntu 22.04 LTS (Jammy Jellyfish) est la seule version touchée, car le patch upstream n'avait pas été rétroporté jusqu'ici.

CVE-2025-24294 : noms de domaine explosifs

La seconde, CVE-2025-24294, concerne la manière dont RubyGems décompresse les noms de domaines présents dans les enregistrements DNS. En présence d'un paquet DNS malformé, le glibc appelé en sous-main peut renvoyer une chaîne beaucoup plus longue que prévu, provoquant un dépassement de tampon logique et, in fine, une interruption du service. Cette fois-ci, c'est la toute jeune Ubuntu 25.04 (en développement) qui est concernée ; les utilisateurs de la branche daily l'ont reçue en premier.

Que faire immédiatement ?

Aucune contre-mesure de contournement n'est connue ; Canonical recommande donc :

  1. Mettre à jour le paquet rubygems sans attendre :
    sudo apt update && sudo apt install rubygems
  2. Redémarrer les applications Ruby qui utilisent des gems en mode production (Rails, Sidekiq, etc.)
  3. Relancer un bundle audit ou gem dependency pour vérifier que vos sources ne servent pas des gemmes compromises

Remarques de timing

Bizarrement, les deux CVE ont été corrigés le même jour alors qu'ils n'ont techniquement rien à voir. Cela reflète probablement la politique de Canonical de grouper les correctifs Ruby pour limiter les redémarrages successifs des serveurs. La première faille traînait depuis mars 2023 sans aucun exploit public, mais la seconde a été découverte en interne via des tests automatisés de fuzzing DNS.

Conclusion

En résumé : si votre machine tourne sous Ubuntu 22.04 LTS ou si vous testez la future 25.04, mettez RubyGems à jour dès aujourd'hui. Cela prend treize secondes et évite des journées de debugging quand l'application plante en plein milieu d'un déploiement. Vous avez déjà appliqué le patch ? Faites-nous signe dans les commentaires pour confirmer que tout tourne sans accroc !

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe