Säkerhetsbulletin från Debian

DSA-2604-1 rails -- otillräcklig validering av indata

Rapporterat den:
2013-01-09
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 697722.
I Mitres CVE-förteckning: CVE-2013-0156.
Ytterligare information:

Man har upptäckt att Rails, Ruby-utevecklingsramverket för webbapplikationer, utförde otillräcklig validering av indataparametrar, vilket tillät oavsiktliga typomvandlingar. En angripare kan använda detta för att gå förbi autentiseringssystem, injicera illasinnad SQL, injicera och köra illasinnad kod, eller utföra en överbelastningsattack på applikationen.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.5-1.2+squeeze4.1.

För uttestningsutgåvan (Wheezy) and instabila utgåvan (Sid), kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar era rails-paket.