Debian セキュリティ勧告

DSA-1887-1 rails -- 入力のサニタイズ漏れ

報告日時:
2009-09-15
影響を受けるパッケージ:
rails
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 545063.
Mitre の CVE 辞書: CVE-2009-3009.
詳細:

Brian Mastenbrook さんにより、Ruby で書かれたウェブアプリケーション開発用 MVC フレームワーク rail に、form ヘルパ内の不正な形式の文字列でクロスサイ トスクリプティング攻撃が可能な欠陥が発見されました。

安定版 (stable) ディストリビューション (lenny) では、この問題はバージョン 2.1.0-7 で修正されています。

旧安定版ディストリビューション (etch) 向けのセキュリティサポートは打ち切 られています。これは、旧安定版の rail が使用不能で、プログラム上の問題の ため性キュウリティ問題の対象となる機能の幾つかが壊れているという報告がさ れているためです。安定版 lenny 版へのアップグレートを強く推奨します。

旧安定版ディストリビューション (etch) のセキュリティサポートは打ち切られ ています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、 この問題はバージョン 2.2.3-1 で修正されています。

直ぐに rails パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.diff.gz
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。