Debian セキュリティ勧告

DSA-2301-2 rails -- 複数の脆弱性

報告日時:

2012-01-23

影響を受けるパッケージ:

rails

危険性:

あり

参考セキュリティデータベース:

詳細:

Ruby ウェブアプリケーションフレームワーク rails に、複数の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

CVE-2009-4214
strip_tags 関数にクロスサイトスクリプティング攻撃 (XSS) を許す欠陥が発見されました。攻撃者から特定のブラウザで評価される非印字文字が挿入可能です。この欠陥は旧安定版ディストリビューション (lenny) にのみ影響があります。
CVE-2011-2930
quote_table_name メソッドに SQL インジェクションを許す欠陥が発見されました。攻撃者はこのメソッドにより、クエリに任意の SQL 文を挿入可能です。
CVE-2011-2931
strip_tags ヘルパにクロスサイトスクリプティング攻撃 (XSS) を許す欠陥が発見されました。パーザの解析ミスを攻撃者から攻撃可能で、パーザを混乱させて出力文書に任意の HTML タグを挿入可能です。
CVE-2011-3186
response.rb に改行文字 (CRLF) 挿入を許す欠陥が発見されました。この欠陥により、攻撃者は Content-Type ヘッダを用いて、任意の HTML ヘッダを挿入して HTTP レスポンス分割攻撃を実行可能です、

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバージョン 2.1.0-7+lenny2 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.3.5-1.2+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.3.14 で修正されています。

直ぐに rails パッケージをアップグレードすることを勧めます。