Bulletin d'alerte Debian

DSA-2466-1 rails -- Script intersite

Date du rapport :
9 mai 2012
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 668607.
Dans le dictionnaire CVE du Mitre : CVE-2012-1099.
Plus de précisions :

Sergey Nartimov a découvert que dans Rails, un environnement de développement web basé sur Ruby, lorsque les développeurs génèrent eux-mêmes les étiquettes d'options html, l'entrée utilisateur concaténée avec les étiquettes qu'ils ont construites eux-mêmes pourrait ne pas être protégée et un attaquant peut injecter du HTML arbitraire dans le document.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14.

Nous vous recommandons de mettre à jour vos paquets rails.