セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2620-1 rails

Debian セキュリティ勧告

DSA-2620-1 rails -- 複数の脆弱性

報告日時:

2013-02-12

影響を受けるパッケージ:

rails

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-0276, CVE-2013-0277.

詳細:

脆弱性が 2 件、ウェブアプリケーション開発用の Ruby フレームワーク Ruby on Rails に発見されました。

• CVE-2013-0276

  attr_protected メソッドにより提供されたブラックリストが、 細工したリクエストによって迂回され、 アプリケーション固有の影響がある可能性があります。

• CVE-2013-0277

  アプリケーションによっては、ActiveRecord の +serialize+ ヘルパーが任意の YAML データの並列化を誤って行う可能性があります。 リモートからのコードの実行につながる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.3.5-1.2+squeeze7 で修正されています。

直ちに rails パッケージをアップグレードすることを勧めます。