Säkerhetsbulletin från Debian
DSA-2247-1 rails -- flera sårbarheter
- Rapporterat den:
- 2011-05-31
- Berörda paket:
- rails
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 614864.
I Mitres CVE-förteckning: CVE-2011-0446, CVE-2011-0447. - Ytterligare information:
-
Flera sårbarheter har upptäckts i Rails, Rubys webbapplikationsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2011-0446
Flera sajtöverskridande skriptsårbarheter (XSS) när JavaScript-kodning används tillåter fjärrangripare att injicera godtyckliga webbskript eller HTML.
- CVE-2011-0447
Rails validerar inte HTTP-förfrågningar ordentligt som innehåller ett X-Requested-With-huvud, vilket gör det lättare för fjärrangripare att utföra serveröverskridande anropsförfalskning (CSRF)-angrepp.
För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.1.0-7+lenny0.1.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.5-1.2+squeeze0.1.
För den instabila distributionen (Sid) har detta problem rättats i version 2.3.11-0.1.
Vi rekommenderar att ni uppgraderar era rails-paket.
- CVE-2011-0446