Рекомендация Debian по безопасности

DSA-2301-2 rails -- несколько уязвимостей

Дата сообщения:
23.01.2012
Затронутые пакеты:
rails
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-2930, CVE-2011-2931, CVE-2011-3186, CVE-2009-4214.
Более подробная информация:

В Rails, инфраструктуре веб-приложений на языке Ruby, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-4214

    Обнаружен межсайтовый скриптинг (XSS) в функции strip_tags. Злоумышленник может ввести непечатные символы, которые будут обрабатываться некоторыми браузерами. Эта уязвимость касается только предыдущего стабильного выпуска (lenny).

  • CVE-2011-2930

    Была обнаружена SQL-инъекция в методе quote_table_name, позволяющая злоумышленникам вводить произвольные команды SQL в запрос.

  • CVE-2011-2931

    Был обнаружен межсайтовый скриптинг (XSS) во вспомогательной функции strip_tags. Ошибка грамматического разбора может использоваться злоумышленником, который может вызвать неправильную работу синтаксического анализатора и ввести теги HTML в результирующий документ.

  • CVE-2011-3186

    Было обнаружено введение новой строки (CRLF) в response.rb. Эта уязвимость позволяет злоумышленнику вводить произвольные заголовки HTTP и выполнять атаки по разделению HTTP-ответов с помощью заголовка Content-Type.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.1.0-7+lenny2.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.3.5-1.2+squeeze2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.3.14.

Рекомендуется обновить пакеты rails.