Debians sikkerhedsbulletin

DSA-2620-1 rails -- flere sårbarheder

Rapporteret den:
12. feb 2013
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-0276, CVE-2013-0277.
Yderligere oplysninger:

To sårbarheder blev opdaget i Ruby on Rails, et Ruby-framework til udvikling af webapplikationer.

  • CVE-2013-0276

    Sortlisten som leveres af metoden attr_protected kunne omgås med fabrikerede forespørgsler, med applikationsspecifikke følger.

  • CVE-2013-0277

    I nogle applikationer, kunne hjælperen +serialize+ i ActiveRecord narres til at deserialisere vilkårlige YAML-data, muligvis førende til fjernudførelse af kode.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.3.5-1.2+squeeze7.

Vi anbefaler at du opgraderer dine rails-pakker.