Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2604-1 rails

Debians sikkerhedsbulletin

DSA-2604-1 rails -- utilstrækkelig validering af inddata

Rapporteret den:

9. jan 2013

Berørte pakker:

rails

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 697722.
I Mitres CVE-ordbog: CVE-2013-0156.

Yderligere oplysninger:

Man opdagede at Rails, Rubys framework til udvikling af webapplikationer, udførte utilstrækkelig validering af inddataparametre, hvilket muliggjorde utilsigtede typekonverteringer. En angriber kunne måske udnytte det til at omgå autentificeringssystemer, indsprøjte vilkårligt SQL, indsprøjte og udføre vilkårlig kode eller udføre et lammelsesangreb (DoS) mod applikationen.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze4.1.

I distributionen testing (wheezy) and ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine rails-pakker.