Bulletin d'alerte Debian

DLA-2149-1 rails -- Mise à jour de sécurité pour LTS

Date du rapport :
20 mars 2020
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 954304.
Dans le dictionnaire CVE du Mitre : CVE-2020-5267.
Plus de précisions :

Dans ActionView avant les versions 6.0.2.2 et 5.2.4.2, il existait une possibilité de vulnérabilité de script intersite (XSS) dans les assistants de protection littérale pour JavaScript d’ActionView. Les vues qui utilisaient les méthodes « j » ou « escape_javascript » pouvaient être sujettes à des attaques de script intersite.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2:4.1.8-1+deb8u6.

Nous vous recommandons de mettre à jour vos paquets rails.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.