Säkerhetsbulletin från Debian
DSA-2609-1 rails -- manipulering av SQL-förfrågan
- Rapporterat den:
- 2013-01-16
- Berörda paket:
- rails
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-0155.
- Ytterligare information:
-
En tolkningskonflikt kan orsaka Active Record-komponenten av Rails, ett webbramverk för programmeringsspråket Ruby, att klippa av förfrågningar på oväntade sätt. Detta kan tillåta en angripare att öka sina rättigheter.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.5-1.2+squeeze5.
Vi rekommenderar att ni uppgraderar era rails-paket.