Bulletin d'alerte Debian

DSA-3509-1 rails -- Mise à jour de sécurité

Date du rapport :
9 mars 2016
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2097, CVE-2016-2098.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Rails, un cadriciel d'application web écrit en Ruby. Elles affectent Action Pack qui gère les requêtes pour Rails.

  • CVE-2016-2097

    Des requêtes spécialement préparées pour Action View, un des composants d'Action Pack, peuvent conduire à fournir des fichiers à partir d'emplacements arbitraires, incluant des fichiers situés en dehors du champ du répertoire de l'application. Cette vulnérabilité est le résultat d'une correction incomplète de CVE-2016-0752. Ce bogue a été trouvé par Jyoti Singh et Tobias Kraze de Makandra.

  • CVE-2016-2098

    Si une application web ne nettoie pas proprement les entrées d'utilisateur, un attaquant peut contrôler les arguments de la méthode de rendu dans un contrôleur ou un affichage, pouvant conduire à l'exécution de code arbitraire ruby. Ce bogue a été trouvé par Tobias Kraze de Makandra et joernchen de Phenoelit.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2:4.1.8-1+deb8u2.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 2:4.2.5.2-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:4.2.5.2-1.

Nous vous recommandons de mettre à jour vos paquets rails.