Bulletin d'alerte Debian

DSA-2613-1 rails -- Validation insuffisante des entrées

Date du rapport :
29 janvier 2013
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 699226.
Dans le dictionnaire CVE du Mitre : CVE-2013-0333.
Plus de précisions :

Lawrence Pit a découvert que Ruby on Rails, un environnement de développement web, est vulnérable à un défaut d'analyse de JSON vers YAML. En utilisant une charge utile contrefaite pour l'occasion, les attaquants peuvent tromper le moteur dans le décodage d'un sous-ensemble de YAML.

La faille de sécurité a été comblée en supprimant le moteur YAML et en ajoutant le moteur OkJson.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze6.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14-6 du paquet ruby-activesupport-2.3.

La version 3.2 de rails disponible dans Debian Wheezy et Sid n'est pas concernée par le problème.

Nous vous recommandons de mettre à jour vos paquets rails.