Säkerhetsbulletin från Debian

DSA-2982-1 ruby-activerecord-3.2 -- säkerhetsuppdatering

Rapporterat den:
2014-07-19
Berörda paket:
ruby-activerecord-3.2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-3482, CVE-2014-3483.
Ytterligare information:

Sean Griffin upptäckte två sårbarheter i PostgreSQL-adaptern för Active Record som kunde leda till en SQL-injektion.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.6-5+deb7u1. Debian tillhandahåller två varianter av Ruby on Rails i Wheezy (2.3 och 3.2). Stöd för 2.3-versionerna var tvungna att avbrytas vid denna tidpunkt. Detta påverkar följande källkodspaket: ruby-actionmailer-2.3, ruby-actionpack-2.3, ruby-activerecord-2.3, ruby-activeresource-2.3, ruby-activesupport-2.3 och ruby-rails-2.3. Versionen av Redmine i Wheezy kräver fortfarande 2.3, och du kan använda en uppdaterad version från backports.debian.org som är kompatibel med rails 3.2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.2.19-1 of the rails-3.2 source package.

Vi rekommenderar att ni uppgraderar era ruby-activerecord-3.2-paket.