Säkerhetsbulletin från Debian
DSA-2620-1 rails -- flera sårbarheter
- Rapporterat den:
- 2013-02-12
- Berörda paket:
- rails
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-0276, CVE-2013-0277.
- Ytterligare information:
-
Två sårbarheter upptäcktes i Ruby on Rails, a Rubyramverk för utveckling av webbapplikationer.
- CVE-2013-0276
Svarta listan som förses med attr_protected-metoden kan kringgås med specialskrivna förfrågningar, och ha applikationsspecifik påverkan.
- CVE-2013-0277
I några applikationer, kan hjälparen +serialize+ i ActiveRecord luras till att deserialisera godtyckliga YAML-data, vilket möjligen kan leda till fjärrutlösning av kod.
För den stabila utgåvan (squeeze) har dessa problem rättats i version 2.3.5-1.2+squeeze7.
Vi rekommenderar att ni uppgraderar era rails-paket.
- CVE-2013-0276