Bulletin d'alerte Debian

DLA-496-1 ruby-activerecord-3.2 -- Mise à jour de sécurité pour LTS

Date du rapport :
30 mai 2016
Paquets concernés :
ruby-activerecord-3.2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7577.
Plus de précisions :
  • CVE-2015-7577

    activerecord/lib/active_record/nested_attributes.rb dans Active Record n'implémente pas correctement une certaine option « destroy ». Cela permet à des attaquants distants de contourner des restrictions de modification voulues en exploitant l'utilisation de la fonctionnalité des attributs imbriqués.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 3.2.6-5+deb7u2.

Nous vous recommandons de mettre à jour vos paquets ruby-activerecord-3.2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.