Рекомендация Debian по безопасности

DSA-3651-1 rails -- обновление безопасности

Дата сообщения:
25.08.2016
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 834155.
В каталоге Mitre CVE: CVE-2016-6316.
Более подробная информация:

Эндрю Карпентер из Critical Juncture обнаружил межсайтовый скриптинг в Action View в rails, инфраструктуре веб-приложений на языке Ruby. Текст, объявленный как HTML safe, не содержит экранированных кавычек при использовании в качестве значений атрибутов в тег-хэлперах.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2:4.1.8-1+deb8u4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2:4.2.7.1-1.

Рекомендуется обновить пакеты rails.