Debians sikkerhedsbulletin

DSA-2613-1 rails -- utilstrækkelig validering af inddata

Rapporteret den:
29. jan 2013
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 699226.
I Mitres CVE-ordbog: CVE-2013-0333.
Yderligere oplysninger:

Lawrence Pit opdagede at Ruby on Rails, et webudviklingsframenwork, var sårbart over for en fejl i fortolkningen af JSON til YAML. Ved hjælp af en særligt fremstillet payload, kunne angribere narre backend'en til at dekode en delmængde af YAML.

Sårbarheden blev løst ved at fjerne YAML-backend'en og tilføjelse af OkJson-backend'en.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze6.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 2.3.14-6 af pakken ruby-activesupport-2.3.

3.2-versionen af rails, som man finder i Debian wheezy og sid, er ikke påvirket af dette problem.

Vi anbefaler at du opgraderer dine rails-pakker.