Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2613-1 rails

Debians sikkerhedsbulletin

DSA-2613-1 rails -- utilstrækkelig validering af inddata

Rapporteret den:

29. jan 2013

Berørte pakker:

rails

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 699226.
I Mitres CVE-ordbog: CVE-2013-0333.

Yderligere oplysninger:

Lawrence Pit opdagede at Ruby on Rails, et webudviklingsframenwork, var sårbart over for en fejl i fortolkningen af JSON til YAML. Ved hjælp af en særligt fremstillet payload, kunne angribere narre backend'en til at dekode en delmængde af YAML.

Sårbarheden blev løst ved at fjerne YAML-backend'en og tilføjelse af OkJson-backend'en.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze6.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 2.3.14-6 af pakken ruby-activesupport-2.3.

3.2-versionen af rails, som man finder i Debian wheezy og sid, er ikke påvirket af dette problem.

Vi anbefaler at du opgraderer dine rails-pakker.