Debian セキュリティ勧告

DSA-2301-2 rails -- 複数の脆弱性

報告日時:
2012-01-23
影響を受けるパッケージ:
rails
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-2930, CVE-2011-2931, CVE-2011-3186, CVE-2009-4214.
詳細:

Ruby ウェブアプリケーションフレームワーク rails に、複数の問題が発見 されました。 The Common Vulnerabilities and Exposures project は以下 の問題を認識しています。

  • CVE-2009-4214

    strip_tags 関数にクロスサイトスクリプティング攻撃 (XSS) を許す欠 陥が発見されました。攻撃者から特定のブラウザで評価される非印字文 字が挿入可能です。この欠陥は旧安定版ディストリビューション (lenny) にのみ影響があります。

  • CVE-2011-2930

    quote_table_name メソッドに SQL インジェクションを許す欠陥が発見 されました。攻撃者はこのメソッドにより、クエリに任意の SQL 文を挿 入可能です。

  • CVE-2011-2931

    strip_tags ヘルパにクロスサイトスクリプティング攻撃 (XSS) を許す 欠陥が発見されました。パーザの解析ミスを攻撃者から攻撃可能で、パ ーザを混乱させて出力文書に任意の HTML タグを挿入可能です。

  • CVE-2011-3186

    response.rb に改行文字 (CRLF) 挿入を許す欠陥が発見されました。こ の欠陥により、攻撃者は Content-Type ヘッダを用いて、任意の HTML ヘッダを挿入して HTTP レスポンス分割攻撃を実行可能です、

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 2.1.0-7+lenny2 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.3.5-1.2+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 2.3.14 で修正されています。

直ぐに rails パッケージをアップグレードすることを勧めます。