Debians sikkerhedsbulletin

DSA-2597-1 rails -- inddatavalideringsfejl

Rapporteret den:
4. jan 2013
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-6496, CVE-2012-6497.
Yderligere oplysninger:

joernchen fra Phenoelit opdagede at rails, et MVC-rubybaseret framework rettet mod udvikling af webapplikationer, ikke på korrekt vis håndterede brugerleverede inddata til find_by_*-metoder. Afhængigt af hvordan ruby on rails-applikatiohner benytter disse metoder, var det muligt for en angriber at udføre SQL-indsprøjtningsangreb, eksempelvis omgåelse af autentifikation, hvis Authlogic benyttes og der er et kendt, hemmeligt sessiontoken.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze4.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i ruby-activerecord-2.3 version 2.3.14-3.

Vi anbefaler at du opgraderer dine rails/ruby-activerecord-2.3-pakker.