Säkerhetsbulletin från Debian

DSA-3651-1 rails -- säkerhetsuppdatering

Rapporterat den:
2016-08-25
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 834155.
I Mitres CVE-förteckning: CVE-2016-6316.
Ytterligare information:

Andrew Carpenter från Critical Juncture upptäckte en sajtöverskridande skriptsårbarhet vilket påverkar Action View i rails, ett webbapplikationsramverk skrivet i Ruby. Text som deklarerats som HTML safe kommer inte att ha citat escapade när de används som attributvärden i tag-hjälpare.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2:4.1.8-1+deb8u4.

För den instabila utgåvan (Sid) har detta problem rättats i version 2:4.2.7.1-1.

Vi rekommenderar att ni uppgraderar era rails-paket.