Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2620-1 rails

Bulletin d'alerte Debian

DSA-2620-1 rails -- Plusieurs vulnérabilités

Date du rapport :

12 février 2013

Paquets concernés :

rails

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-0276, CVE-2013-0277.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans Ruby on Rails, un environnement de développement web basé sur Ruby.

• CVE-2013-0276

  La liste noire fournie par la méthode attr_protected pourrait être contournée avec des requêtes contrefaites, en ayant un impact spécifique à l'application.

• CVE-2013-0277

  Dans certaines applications, l'assistant +serialize+ dans ActiveRecord pourrait être piégé dans la désérialisation de données YAML arbitraires, avec pour conséquence éventuelle l'exécution de code à distance.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.3.5-1.2+squeeze7.

Nous vous recommandons de mettre à jour vos paquets rails.