Säkerhetsbulletin från Debian

DSA-2466-1 rails -- serveröverskridande skriptsårbarhet

Rapporterat den:
2012-05-09
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 668607.
I Mitres CVE-förteckning: CVE-2012-1099.
Ytterligare information:

Sergey Nartimov upptäckte att Rails, ett Ruby-baserat ramverk för webbutveckling, fanns möjligheten att användarindata som har förlängts med manuellt byggda taggar inte avslutades och en angripare kunde injicera godtycklig HTML i dokumentet när utvecklare genererar html-optiontaggar manellt.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.5-1.2+squeeze3.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har detta problem rättats i version 2.3.14.

Vi rekommenderar att ni uppgraderar era rails-paket.