セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2260-1 rails

Debian セキュリティ勧告

DSA-2260-1 rails -- 複数の脆弱性

報告日時:

2011-06-14

影響を受けるパッケージ:

rails

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 545063, バグ 558685.
Mitre の CVE 辞書: CVE-2009-3086, CVE-2009-4214.

詳細:

Web アプリケーションフレームワーク Ruby on Rails に二つの欠陥が発見され ました。The Common Vulnerabilities and Exposures project は以下の問題を 認識しています。

• CVE-2009-3086

  クッキー格納処理がタイミング攻撃に対して脆弱で、リモートの攻撃 者からメッセージダイジェストの偽装が行える可能性があります。

• CVE-2009-4214

  trip_tags 関数にクロスサイトスクリプティング攻撃を許す欠陥があ り、リモートの攻撃者がユーザを騙すことで任意のウェブスクリプト を挿入可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題 はバージョン 2.1.0-7+lenny0.2 で修正されています。

他のディストリビューションでは、この問題はバージョン 2.2.3-2 で修正さ れています。

直ぐに rails パッケージをアップグレードすることを勧めます。