Bulletin d'alerte Debian

DLA-2251-1 rails -- Mise à jour de sécurité pour LTS

Date du rapport :
19 juin 2020
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-8164, CVE-2020-8165.
Plus de précisions :

Deux vulnérabilités ont été trouvées dans Ruby on Rails, un cadriciel MVC basé sur Ruby adapté au développement d’applications web, qui pourraient conduire à une exécution de code à distance et l’utilisation de saisies utilisateur, selon l’application.

  • CVE-2020-8164

    Vecteur de contournement de paramètres forts dans ActionPack. Dans certains cas, l’information fournie par l’utilisateur pourrait être divulguée par inadvertance à partir des paramètres forts. Particulièrement, la valeur renvoyée par « each », « each_value » ou « each_pair » renverrait le hachage de données sous-jacentes non fiables qui était lu pour ces paramètres. Les applications qui utilisent cette valeur de retour pourraient involontairement utiliser des entrées utilisateur non fiables.

  • CVE-2020-8165

    Déconversion potentielle inattendue d’objets fournis par l’utilisateur dans MemCacheStore. Il existait éventuellement un comportement inattendu dans MemCacheStore où, lorsque des entrées utilisateur non fiables étaient écrites dans le stockage de cache en utilisant le paramètre « raw: true », la relecture du résultat à partir du cache pouvait juger la saisie d’utilisateur comme un objet déconverti au lieu d’un texte simple. La déconversion d’une saisie utilisateur non fiable pouvait avoir un impact pouvant aller jusqu’à une exécution de code à distance. Au minimum, cette vulnérabilité permettait à un attaquant d’injecter des objets Ruby dans une application web.

    En plus de la mise à niveau vers la dernière version de Rails, les développeurs doivent faire en sorte que chaque fois qu’ils appellent « Rails.cache.fetch », il utilisent des valeurs cohérentes du paramètre « raw » pour la lecture comme l’écriture.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2:4.1.8-1+deb8u7.

Nous vous recommandons de mettre à jour vos paquets rails.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.