Debians sikkerhedsbulletin
DSA-2620-1 rails -- flere sårbarheder
- Rapporteret den:
- 12. feb 2013
- Berørte pakker:
- rails
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-0276, CVE-2013-0277.
- Yderligere oplysninger:
-
To sårbarheder blev opdaget i Ruby on Rails, et Ruby-framework til udvikling af webapplikationer.
- CVE-2013-0276
Sortlisten som leveres af metoden attr_protected kunne omgås med fabrikerede forespørgsler, med applikationsspecifikke følger.
- CVE-2013-0277
I nogle applikationer, kunne hjælperen +serialize+ i ActiveRecord narres til at deserialisere vilkårlige YAML-data, muligvis førende til fjernudførelse af kode.
I den stabile distribution (squeeze), er disse problemer rettet i version 2.3.5-1.2+squeeze7.
Vi anbefaler at du opgraderer dine rails-pakker.
- CVE-2013-0276