Säkerhetsbulletin från Debian

DSA-2260-1 rails -- flera sårbarheter

Rapporterat den:
2011-06-14
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 545063, Fel 558685.
I Mitres CVE-förteckning: CVE-2009-3086, CVE-2009-4214.
Ytterligare information:

Två sårbarheter upptäcktes i Ruby on Rails, ett webbapplikationsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-3086

    Cookie-lagringen kan vara sårbar för ett timingangrepp, vilket potentiellt tillåter fjärrangripare att förfalska meddelandesammanfattningar.

  • CVE-2009-4214

    En serveröverskridande skriptsårbarhet i funktionen strip_tags tillåter användarassisterade fjärrangripare att injicera godtyckliga webbskript.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 2.1.0-7+lenny0.2.

För övriga distributioner har dessa problem rättats i version 2.2.3-2.

Vi rekommenderar att ni uppgraderar era rails-paket.