Рекомендация Debian по безопасности

DSA-2620-1 rails -- несколько уязвимостей

Дата сообщения:
12.02.2013
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-0276, CVE-2013-0277.
Более подробная информация:

В Ruby on Rails, инфраструктуре Ruby для разработки веб-приложений, были обнаружены две уязвимости.

  • CVE-2013-0276

    Чёрный список, предоставляемый методом attr_protected, можно обойти при помощи специально сформированных запросов, проблема влияет на конкретные приложения.

  • CVE-2013-0277

    В некоторых приложения помощник +serialize+ в ActiveRecord может быть использован для десериализации произвольных данных YAML, что потенциально ведёт к удалённому выполнению кода.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.3.5-1.2+squeeze7.

Рекомендуется обновить пакеты rails.