Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2604-1 rails

Bulletin d'alerte Debian

DSA-2604-1 rails -- Validation insuffisante des entrées

Date du rapport :

9 janvier 2013

Paquets concernés :

rails

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 697722.
Dans le dictionnaire CVE du Mitre : CVE-2013-0156.

Plus de précisions :

Rails, l'environnement de développement web basé sur Ruby, ne réalisait pas suffisamment de validations des paramètres d'entrées, permettant des conversions non intentionnelles de type. Un attaquant pourrait utiliser cela pour contourner des systèmes d'authentification, injecter du SQL arbitraire, injecter et exécuter du code arbitraire, ou réaliser une attaque par déni de service sur l'application.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze4.1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets rails.