Säkerhetsbulletin från Debian

DSA-2247-1 rails -- flera sårbarheter

Rapporterat den:
2011-05-31
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 614864.
I Mitres CVE-förteckning: CVE-2011-0446, CVE-2011-0447.
Ytterligare information:

Flera sårbarheter har upptäckts i Rails, Rubys webbapplikationsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2011-0446

    Flera sajtöverskridande skriptsårbarheter (XSS) när JavaScript-kodning används tillåter fjärrangripare att injicera godtyckliga webbskript eller HTML.

  • CVE-2011-0447

    Rails validerar inte HTTP-förfrågningar ordentligt som innehåller ett X-Requested-With-huvud, vilket gör det lättare för fjärrangripare att utföra serveröverskridande anropsförfalskning (CSRF)-angrepp.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.1.0-7+lenny0.1.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.5-1.2+squeeze0.1.

För den instabila distributionen (Sid) har detta problem rättats i version 2.3.11-0.1.

Vi rekommenderar att ni uppgraderar era rails-paket.