Bulletin d'alerte Debian

DLA-604-1 ruby-actionpack-3.2 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 août 2016
Paquets concernés :
ruby-actionpack-3.2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7576, CVE-2016-0751, CVE-2016-0752, CVE-2016-2097, CVE-2016-2098, CVE-2016-6316.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans ruby-actionpack-3.2, un cadriciel de flux et de rendu web qui fait partie de Rails:

  • CVE-2015-7576

    Un défaut a été découvert dans la manière dont le composant Action Controller comparait les noms et les mots de passe d'utilisateurs lors de la réalisation d'authentification basique HTTP. Le temps pris pour comparer les chaînes pourrait différer selon l'entrée, permettant éventuellement à un attaquant distant de déterminer les noms et les mots de passe d'utilisateurs valables à l'aide d'une attaque temporelle.

  • CVE-2016-0751

    Un défaut a été découvert dans la manière dont le composant Action Pack réalisait la recherche de type MIME. Dans la mesure où les requêtes étaient mises en cache dans un cache global des types MIME, un attaquant pourrait utilisait ce défaut pour faire grossir le cache indéfiniment, avec comme conséquence éventuellement un déni de service.

  • CVE-2016-0752

    Un défaut de traversée de répertoires a été découvert dans la manière dont le composant Action View recherchait des modèles pour l'affichage. Si une application passait une entrée non fiable à la méthode render, un attaquant distant non identifié pourrait utiliser ce défaut pour afficher des fichiers inattendus et, éventuellement, exécuter du code arbitraire.

  • CVE-2016-2097

    Des requêtes contrefaites pour Action View pourraient avoir pour conséquence de fournir de fichiers à partir d'emplacements arbitraires, y compris de fichiers situés en dehors du répertoire de vues de l'application. Cette vulnérabilité est le résultat d'une correction incomplète du CVE-2016-0752. Ce bogue a été découvert par Jyoti Singh et Tobias Kraze de Makandra.

  • CVE-2016-2098

    Si une application web ne nettoie pas proprement les entrées d'utilisateur, un attaquant peut contrôler les arguments de la méthode de rendu dans un contrôleur ou un affichage, avec comme conséquence la possibilité d'exécuter du code Ruby arbitraire. Ce bogue a été découvert par Tobias Kraze de Makandra et joernchen de Phenoelit.

  • CVE-2016-6316

    Andrew Carpenter de Critical Juncture a découvert une vulnérabilité de script intersite affectant Action View. Un texte déclaré comme HTML safe n'aura pas de guillemets protégés quand il est utilisé comme valeur d'attribut dans des tag helpers.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.2.6-6+deb7u3.

Nous vous recommandons de mettre à jour vos paquets ruby-actionpack-3.2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.