Debians sikkerhedsbulletin

DSA-1887-1 rails -- manglende fornuftighedskontrol af inddata

Rapporteret den:
15. sep 2009
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 545063.
I Mitres CVE-ordbog: CVE-2009-3009.
Yderligere oplysninger:

Brian Mastenbrook opdagede at rails, det MVC ruby-baserede framework rettet mod udvikling af webapplikationer, var sårbar over for udførelse af skripter på tværs af websteder gennem misdannede strenge i form-helper'en.

I den gamle stabile distribution (etch) er sikkerhedsunderstøttelse ophørt. Der er rapporteret, at rails i den gamle stabile distribution er ubrugelig samt at forskellig funktionalitet, som er påvirket af sikkerhedsproblemer, ikke fungerer på grund af programmeringsfejl. Der anbefales kraftigt at opgradere til versionen i den stabile distribution (lenny).

I den stabile distribution (lenny), er dette problem rettet i version 2.1.0-7.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er dette problem rettet i version 2.2.3-1.

Vi anbefaler at du opgraderer dine rails-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.diff.gz
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.