Debians sikkerhedsbulletin
DSA-1887-1 rails -- manglende fornuftighedskontrol af inddata
- Rapporteret den:
- 15. sep 2009
- Berørte pakker:
- rails
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 545063.
I Mitres CVE-ordbog: CVE-2009-3009. - Yderligere oplysninger:
-
Brian Mastenbrook opdagede at rails, det MVC ruby-baserede framework rettet mod udvikling af webapplikationer, var sårbar over for udførelse af skripter på tværs af websteder gennem misdannede strenge i form-helper'en.
I den gamle stabile distribution (etch) er sikkerhedsunderstøttelse ophørt. Der er rapporteret, at rails i den gamle stabile distribution er ubrugelig samt at forskellig funktionalitet, som er påvirket af sikkerhedsproblemer, ikke fungerer på grund af programmeringsfejl. Der anbefales kraftigt at opgradere til versionen i den stabile distribution (lenny).
I den stabile distribution (lenny), er dette problem rettet i version 2.1.0-7.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er dette problem rettet i version 2.2.3-1.
Vi anbefaler at du opgraderer dine rails-pakker.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.diff.gz
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.