Sign in Subscribe
By Jean-Marc BIAUDIS in RubyGems

Failles de sécurité RubyGems : mise à jour urgente pour Ubuntu 22.04 & 25.04

Mise à jour critique pour les développeurs et administrateurs Ubuntu : Canonical vient de publier USN-7735-1 corrigeant deux failles dans RubyGems qui peuvent provoquer un déni de service sur les systèmes Ubuntu 22.04 LTS et Ubuntu 25.04. Explications et actions immédiates.

Présentation des vulnérabilités

RubyGems, le gestionnaire de paquets de la communauté Ruby, est touché par deux problèmes distincts :

  • CVE-2023-28755 – une expression régulière mal gérée qui peut boucler infiniment et faire crasher le processus.
  • CVE-2025-24294 – un dysfonctionnement lors du traitement des noms de domaine décompressés dans les paquets DNS, provoquant également un plantage.

Dans les deux cas, l'attaquant n'obtient pas d'exécution de code à distance, mais verrouille simplement le service, empêchant toute installation ou mise à jour de gem.

Pourquoi cela vous concerne

RubyGems est au cœur des chaînes CI/CD, des scripts de déploiement et des environnements de développement. Un blocage répété peut :

  • interrompre vos pipelines GitHub Actions ou GitLab CI ;
  • retarder les mises en production ;
  • augmenter la charge CPU jusqu'à saturation du nœud.

Admettons-le : personne n'aime voir sa console figée sur « Fetching source index… ».

Vérifier et patcher en deux minutes

1. Identifiez votre version :
lsb_release -a

2. Si vous êtes sur 22.04 ou 25.04, mettez à jour sans attendre :

sudo apt updatesudo apt install rubygems

3. Confirmez la version corrigée :
gem --version

4. Relancez vos services Ruby pour éviter tout deadlock résiduel.

Conclusion & périmètre

Ces deux CVE n'affectent que les versions citées ; Ubuntu 20.04 et les LTS précédents ne sont pas concernées. Canonical a livré les patchs en amont de RubyGems 3.4.18. Il est donc prudent de bloquer vos conteneurs ou VM sur cette version minimale. Et surtout, surveillez vos logs DNS : des requêts étranges peuvent être le signe d'une tentative d'exploitation.

Vos serveurs sont déjà à jour ? Faites-nous part de votre retour d'expérience en commentaire ou venez échanger sur notre forum sécurité.

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe