Säkerhetsbulletin från Debian

DSA-2620-1 rails -- flera sårbarheter

Rapporterat den:
2013-02-12
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-0276, CVE-2013-0277.
Ytterligare information:

Två sårbarheter upptäcktes i Ruby on Rails, a Rubyramverk för utveckling av webbapplikationer.

  • CVE-2013-0276

    Svarta listan som förses med attr_protected-metoden kan kringgås med specialskrivna förfrågningar, och ha applikationsspecifik påverkan.

  • CVE-2013-0277

    I några applikationer, kan hjälparen +serialize+ i ActiveRecord luras till att deserialisera godtyckliga YAML-data, vilket möjligen kan leda till fjärrutlösning av kod.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 2.3.5-1.2+squeeze7.

Vi rekommenderar att ni uppgraderar era rails-paket.