Debian セキュリティ勧告

DSA-2620-1 rails -- 複数の脆弱性

報告日時:
2013-02-12
影響を受けるパッケージ:
rails
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-0276, CVE-2013-0277.
詳細:

脆弱性が 2 件、ウェブアプリケーション開発用の Ruby フレームワーク Ruby on Rails に発見されました。

  • CVE-2013-0276

    attr_protected メソッドにより提供されたブラックリストが、 細工したリクエストによって迂回され、 アプリケーション固有の影響がある可能性があります。

  • CVE-2013-0277

    アプリケーションによっては、ActiveRecord の +serialize+ ヘルパーが任意の YAML データの並列化を誤って行う可能性があります。 リモートからのコードの実行につながる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.3.5-1.2+squeeze7 で修正されています。

直ちに rails パッケージをアップグレードすることを勧めます。