セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2613-1 rails

Debian セキュリティ勧告

DSA-2613-1 rails -- 入力の不十分な検証

報告日時:

2013-01-29

影響を受けるパッケージ:

rails

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 699226.
Mitre の CVE 辞書: CVE-2013-0333.

詳細:

Lawrence Pit さんが、ウェブ開発フレームワーク Ruby on Rails が JSON の YAML への解析に欠陥があるために脆弱であることを発見しました。 攻撃者は特別に細工したペイロードを使用して、YAML のサブセットをバックエンドによりデコードさせることが可能です。

この脆弱性は YAML バックエンドを削除して OkJson バックエンドを追加することで処理されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.3.5-1.2+squeeze6 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題は ruby-activesupport-2.3 パッケージのバージョン 2.3.14-6 で修正されています。

Debian wheezy および sid の rails バージョン 3.2 にはこの問題による影響はありません。

直ちに rails パッケージをアップグレードすることを勧めます。