Bulletin d'alerte Debian

DSA-2620-1 rails -- Plusieurs vulnérabilités

Date du rapport :
12 février 2013
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-0276, CVE-2013-0277.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Ruby on Rails, un environnement de développement web basé sur Ruby.

  • CVE-2013-0276

    La liste noire fournie par la méthode attr_protected pourrait être contournée avec des requêtes contrefaites, en ayant un impact spécifique à l'application.

  • CVE-2013-0277

    Dans certaines applications, l'assistant +serialize+ dans ActiveRecord pourrait être piégé dans la désérialisation de données YAML arbitraires, avec pour conséquence éventuelle l'exécution de code à distance.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.3.5-1.2+squeeze7.

Nous vous recommandons de mettre à jour vos paquets rails.