Рекомендация Debian по безопасности

DSA-2613-1 rails -- недостаточная проверка ввода

Дата сообщения:
29.01.2013
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 699226.
В каталоге Mitre CVE: CVE-2013-0333.
Более подробная информация:

Лоуренс Пит обнаружил, что Ruby on Rails, инфраструктура для веб-разработки, уязвима по отношению к ошибке, возникающей во время грамматического разбора JSON в YAML. Используя специально сформированные данные, атакующие могут заставить движок декодировать подмножество YAML.

Данная уязвимость была решена путём удаления движка YAML и добавления движка OkJson.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.3.5-1.2+squeeze6.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.3.14-6 пакета ruby-activesupport-2.3.

Версия 3.2 пакета rails из Debian wheezy и sid не подвержена данной проблеме.

Рекомендуется обновить пакеты rails.