Рекомендация Debian по безопасности
DSA-1887-1 rails -- отсутствие очистки ввода
- Дата сообщения:
- 15.09.2009
- Затронутые пакеты:
- rails
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 545063.
В каталоге Mitre CVE: CVE-2009-3009. - Более подробная информация:
-
Брайан Мастенбрук обнаружил, что rails, инфраструктура на основе языка Ruby, предназначенная для разработки веб-приложений, уязвима к межсайтовому скриптингу при обработке специально сформированных строк во вспомогательном компоненте поддержки форм.
В предыдущем стабильном выпуске (etch) поддержка безопасности была прекращена. Сообщалось о том, что rails в предыдущем стабильном выпуске непригоден к использованию, некоторые возможности, подверженные проблемам безопасности, сломаны. Настоятельно рекомендуем выполнить обновление до версии в стабильном выпуске (lenny).
В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.1.0-7.
В тестируемом (squeeze) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.2.3-1.
Рекомендуется обновить пакеты rails.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.diff.gz
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.