Bulletin d'alerte Debian

DSA-2247-1 rails -- Plusieurs vulnérabilités

Date du rapport :
31 mai 2011
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 614864.
Dans le dictionnaire CVE du Mitre : CVE-2011-0446, CVE-2011-0447.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Rails, le cadre de travail d'application web en Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2011-0446

    Plusieurs vulnérabilités de script intersite (XSS), lorsque l'encodage JavaScript est utilisé, permettent à des attaquants distants d'injecter du script web ou du HTML arbitraire.

  • CVE-2011-0447

    Rails ne valide pas correctement les requêtes HTTP contenant des en-têtes X-Requested-With, ce qui facilite à des attaquants distants la mise en place d'attaques de contrefaçon de requête intersite (CSRF).

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.1.0-7+lenny0.1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze0.1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.11-0.1.

Nous vous recommandons de mettre à jour vos paquets rails.