Рекомендация Debian по безопасности

DSA-2260-1 rails -- несколько уязвимостей

Дата сообщения:
14.06.2011
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 545063, Ошибка 558685.
В каталоге Mitre CVE: CVE-2009-3086, CVE-2009-4214.
Более подробная информация:

В Ruby on Rails, инфраструктуре веб-приложений, было обнаружено две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-3086

    Хранилище куки может быть уязвимо к атаке через тайминги, что потенциально позволяет удалённым злоумышленникам подделывать дайджесты сообщений.

  • CVE-2009-4214

    Межсайтовый скриптинг в функции strip_tags позволяет удалённым злоумышленникам с помощью пользователя выполнять инъекцию произвольного веб-сценария.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 2.1.0-7+lenny0.2.

В других дистрибутивах эти проблемы были исправлены в версии 2.2.3-2.

Рекомендуется обновить пакеты rails.