Debians sikkerhedsbulletin
DSA-2609-1 rails -- manipulering af SQL-forespørgsel
- Rapporteret den:
- 16. jan 2013
- Berørte pakker:
- rails
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-0155.
- Yderligere oplysninger:
-
En fortolkningskonflikt kunne medføre at komponenten Active Record i Rails, et webframework til programmeringssproget Ruby, forkortede forespørgsler på uventede måder. Dermed kunne det være muligt for angribere at forøge deres rettigheder.
I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze5.
Vi anbefaler at du opgraderer dine rails-pakker.