Рекомендация Debian по безопасности

DSA-2604-1 rails -- недостаточная проверка ввода

Дата сообщения:
09.01.2013
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 697722.
В каталоге Mitre CVE: CVE-2013-0156.
Более подробная информация:

Было обнаружено, что Rails, инфраструктура для разработки веб-приложений на Ruby, выполняет недостаточную проверку вводимых параметров, что позволяет осуществлять ненамеренные преобразования типов. Атакующий может использовать эту уязвимость для обхода систем авторизации, инъекции произвольного SQL запроса, инъекции и выполнения произвольного кода, либо для выполнения DoS-атаки на приложение.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.3.5-1.2+squeeze4.1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты rails.