Debians sikkerhedsbulletin

DSA-2260-1 rails -- flere sårbarheder

Rapporteret den:
14. jun 2011
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 545063, Fejl 558685.
I Mitres CVE-ordbog: CVE-2009-3086, CVE-2009-4214.
Yderligere oplysninger:

To sårbarheder blev opdaget i Ruby on Rails, et webapplikationsframework. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-3086

    Cookie-opbevaringe var sårbar over for et timingsangreb, potentielt gørende det muligt for fjernangribere at forfalske meddelelsesdigests.

  • CVE-2009-4214

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder i funktionen strip_tags, gjorde det muligt for brugerhjulpne fjernangribere at indsprøjte vilkårligt webskript.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 2.1.0-7+lenny0.2.

I de andre distributioner er disse problemer rettet i version 2.2.3-2.

Vi anbefaler at du opgraderer dine rails-pakker.