LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-3093-1 rails

Bulletin d'alerte Debian

DLA-3093-1 rails -- Mise à jour de sécurité pour LTS

Date du rapport :

13 septembre 2022

Paquets concernés :

rails

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-21831, CVE-2022-22577, CVE-2022-23633, CVE-2022-27777, CVE-2022-32224.

Plus de précisions :

Les vulnérabilités suivantes ont été découvertes dans rails, un cadriciel MVC basé sur Ruby et destiné au développement d’applications web.

• CVE-2022-21831

  Une vulnérabilité d'injection de code existe dans Active Storage pouvait permettre à un attaquant d'exécuter du code au moyen des arguments de image_processing.

• CVE-2022-22577

  Une vulnérabilité de script intersite dans Action Pack pouvait permettre à un attaquant de contourner la CSP pour les réponses qui ne ressemblent pas au HTML.

• CVE-2022-23633

  Action Pack est un cadriciel pour le traitement et la réponse à des requêtes web. Dans certaines circonstances, le corps des réponses n'est pas fermé. Dans le cas où une réponse n'est pas* notifiée d'un close, ActionDispatch::Executor ne sait pas qu'il doit réinitialiser l'état local du fil d'exécution de la requête suivante. Cela peut conduire à la divulgation de données aux requêtes suivantes.

• CVE-2022-27777

  Une vulnérabilité de script intersite dans des tag helpers d'Action View qui permettait à un attaquant d'injecter des contenus s'il est capable de contrôler une entrée dans des attributs spécifiques.

• CVE-2022-32224

  Quand des colonnes sérialisées qui utilisent YAML (par défaut) sont désérialisées, Rails utilise YAML.unsafe_load pour convertir les données YAML en objets Ruby. Si un attaquant peut manipuler des données dans la base de données (avec des moyens tels qu'une injection SQL), il peut alors être possible pour l'attaquant d’obtenir des privilèges supérieurs pour une exécution de code à distance (RCE).

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 2:5.2.2.1+dfsg-1+deb10u4.

Nous vous recommandons de mettre à jour vos paquets rails.

Pour disposer d'un état détaillé sur la sécurité de rails, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/rails.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.