Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2466-1 rails

Bulletin d'alerte Debian

DSA-2466-1 rails -- Script intersite

Date du rapport :

9 mai 2012

Paquets concernés :

rails

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 668607.
Dans le dictionnaire CVE du Mitre : CVE-2012-1099.

Plus de précisions :

Sergey Nartimov a découvert que dans Rails, un environnement de développement web basé sur Ruby, lorsque les développeurs génèrent eux-mêmes les étiquettes d'options html, l'entrée utilisateur concaténée avec les étiquettes qu'ils ont construites eux-mêmes pourrait ne pas être protégée et un attaquant peut injecter du HTML arbitraire dans le document.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14.

Nous vous recommandons de mettre à jour vos paquets rails.