Bulletin d'alerte Debian

DSA-2260-1 rails -- Plusieurs vulnérabilités

Date du rapport :
14 juin 2011
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 545063, Bogue 558685.
Dans le dictionnaire CVE du Mitre : CVE-2009-3086, CVE-2009-4214.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Ruby on Rails, un cadre de travail d'application web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-3086

    Le stockage des cookies pourrait être vulnérable à une attaque temporelle, permettant éventuellement aux attaquants distants de contrefaire des condensés de messages.

  • CVE-2009-4214

    Une vulnérabilité de script intersite dans la fonction strip_tags permet aux attaquants distants aidés par un utilisateur d'injecter un script web arbitraire.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 2.1.0-7+lenny0.2.

Pour les autres distributions, ces problèmes ont été corrigés dans la version 2.2.3-2.

Nous vous recommandons de mettre à jour vos paquets rails.