LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3264-1 ruby-sinatra

Bulletin d'alerte Debian

DLA-3264-1 ruby-sinatra -- Mise à jour de sécurité pour LTS

Date du rapport :

10 janvier 2023

Paquets concernés :

ruby-sinatra

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-45442.

Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité potentielle de téléchargement de fichier par réflexion (RFD) dans ruby-sinatra, une bibliothèque de Ruby pour écrire des applications HTTP. Un en-tête HTTP Content-Disposition était incorrectement dérivé d’un nom de fichier potentiellement fourni par un utilisateur.

• CVE-2022-45442

  Sinatra est un langage dédié à la création d’applications web avec Ruby. Un problème a été découvert dans Sinatra, versions 2.0 avant 2.2.3 et 3.0 avant 3.0.4. Une application est vulnérable à une attaque de téléchargement de fichier par réflexion (RFD) qui règle l’en-tête Content-Disposition d’une réponse quand le nom de fichier est dérivé d’une entrée fournie par un utilisateur. Les version 2.2.3 et 3.0.4 fournissent des correctifs pour ce problème.

Pour Debian 10 Buster, ce problème a été corrigé dans la version 2.0.5-4+deb10u2.

Nous vous recommandons de mettre à jour vos paquets ruby-sinatra.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.