Bulletin d'alerte Debian

DLA-1986-1 ruby-haml -- Mise à jour de sécurité pour LTS

Date du rapport :
10 novembre 2019
Paquets concernés :
ruby-haml
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-1002201.
Plus de précisions :

Dans haml, lors de l’utilisation d’une entrée utilisateur pour réaliser des tâches sur le serveur, des caractères tels que <> " ' doivent être protégés correctement. Dans cette utilisation, le caractère ' était absent. Un attaquant pouvait manipuler l’entrée pour introduire des attributs supplémentaires, avec une exécution de code potentielle.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 4.0.5-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets ruby-haml.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.