Bulletin d'alerte Debian
DSA-2247-1 rails -- Plusieurs vulnérabilités
- Date du rapport :
- 31 mai 2011
- Paquets concernés :
- rails
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 614864.
Dans le dictionnaire CVE du Mitre : CVE-2011-0446, CVE-2011-0447. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Rails, le cadre de travail d'application web en Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2011-0446
Plusieurs vulnérabilités de script intersite (XSS), lorsque l'encodage JavaScript est utilisé, permettent à des attaquants distants d'injecter du script web ou du HTML arbitraire.
- CVE-2011-0447
Rails ne valide pas correctement les requêtes HTTP contenant des en-têtes X-Requested-With, ce qui facilite à des attaquants distants la mise en place d'attaques de contrefaçon de requête intersite (CSRF).
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.1.0-7+lenny0.1.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze0.1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.11-0.1.
Nous vous recommandons de mettre à jour vos paquets rails.
- CVE-2011-0446