Debians sikkerhedsbulletin

DSA-2466-1 rails -- udførelse af skripter på tværs af servere

Rapporteret den:
9. maj 2012
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 668607.
I Mitres CVE-ordbog: CVE-2012-1099.
Yderligere oplysninger:

Sergey Nartimov opdagede, at Rails, et Ruby-baseret framework til webudvikling, når udviklere genererer HTML-optiontags manuelt, blev data fra brugeren hægtet sammen med manuelt opbyggede tags, som måske ikke var indkapslet, hvilket kunne udnyttes af en angriber til at indsprøjte vilkårlig HTML-kode i dokumentet.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze3.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 2.3.14.

Vi anbefaler at du opgraderer dine rails-pakker.