Debians sikkerhedsbulletin

DSA-3651-1 rails -- sikkerhedsopdatering

Rapporteret den:
25. aug 2016
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 834155.
I Mitres CVE-ordbog: CVE-2016-6316.
Yderligere oplysninger:

Andrew Carpenter fra Critical Juncture opdagede en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, som påvirkede Action View i rails, et webapplikationsframework skrevet i Ruby. Tekst erklæret som HTML safe var ikke indkapslet af anførselstegn, når den blev benyttet som attributværdier i tag-hjælpere.

I den stabile distribution (jessie), er dette problem rettet i version 2:4.1.8-1+deb8u4.

I den ustabile distribution (sid), er dette problem rettet i version 2:4.2.7.1-1.

Vi anbefaler at du opgraderer dine rails-pakker.