Debian セキュリティ勧告

DSA-2260-1 rails -- 複数の脆弱性

報告日時:
2011-06-14
影響を受けるパッケージ:
rails
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 545063, バグ 558685.
Mitre の CVE 辞書: CVE-2009-3086, CVE-2009-4214.
詳細:

Web アプリケーションフレームワーク Ruby on Rails に二つの欠陥が発見され ました。The Common Vulnerabilities and Exposures project は以下の問題を 認識しています。

  • CVE-2009-3086

    クッキー格納処理がタイミング攻撃に対して脆弱で、リモートの攻撃 者からメッセージダイジェストの偽装が行える可能性があります。

  • CVE-2009-4214

    trip_tags 関数にクロスサイトスクリプティング攻撃を許す欠陥があ り、リモートの攻撃者がユーザを騙すことで任意のウェブスクリプト を挿入可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題 はバージョン 2.1.0-7+lenny0.2 で修正されています。

他のディストリビューションでは、この問題はバージョン 2.2.3-2 で修正さ れています。

直ぐに rails パッケージをアップグレードすることを勧めます。