Рекомендация Debian по безопасности

DSA-1887-1 rails -- отсутствие очистки ввода

Дата сообщения:
15.09.2009
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 545063.
В каталоге Mitre CVE: CVE-2009-3009.
Более подробная информация:

Брайан Мастенбрук обнаружил, что rails, инфраструктура на основе языка Ruby, предназначенная для разработки веб-приложений, уязвима к межсайтовому скриптингу при обработке специально сформированных строк во вспомогательном компоненте поддержки форм.

В предыдущем стабильном выпуске (etch) поддержка безопасности была прекращена. Сообщалось о том, что rails в предыдущем стабильном выпуске непригоден к использованию, некоторые возможности, подверженные проблемам безопасности, сломаны. Настоятельно рекомендуем выполнить обновление до версии в стабильном выпуске (lenny).

В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.1.0-7.

В тестируемом (squeeze) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.2.3-1.

Рекомендуется обновить пакеты rails.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.diff.gz
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7.dsc
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/r/rails/rails_2.1.0-7_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.