Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2609-1 rails

Bulletin d'alerte Debian

DSA-2609-1 rails -- Manipulation de requête SQL

Date du rapport :

16 janvier 2013

Paquets concernés :

rails

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-0155.

Plus de précisions :

Un conflit d'interprétation peut forcer le composant Active Record de Rails, un environnement de développement web basé sur Ruby, à tronquer les requêtes de façons inattendues. Cela pourrait permettre aux attaquants d'augmenter leurs droits.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze5.

Nous vous recommandons de mettre à jour vos paquets rails.