Рекомендация Debian по безопасности

DSA-2466-1 rails -- межсайтовый скриптинг

Дата сообщения:
09.05.2012
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 668607.
В каталоге Mitre CVE: CVE-2012-1099.
Более подробная информация:

Сергей Нартымов обнаружил, что в Rails, инфраструктуре для веб-разработки на основе Ruby, если разработчики создают теги html вручную, то то, что вводит пользователь, соединяется с вручную созданными тегами, и к нему может быть не применено экранирование, поэтому злоумышленник может ввести произвольный код HTML в обрабатываемый документ.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.3.5-1.2+squeeze3.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.3.14.

Рекомендуется обновить пакеты rails.