Säkerhetsbulletin från Debian

DSA-2613-1 rails -- otillräcklig validering av indata

Rapporterat den:
2013-01-29
Berörda paket:
rails
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 699226.
I Mitres CVE-förteckning: CVE-2013-0333.
Ytterligare information:

Lawrence Pit upptäckte att Ruby on Rails, ett webbutvecklingsramverk, är sårbart för en brist i tolkningen av JSON till YAML. Genom att använda en speciellt skapad payload så kunde en angripare lura gränssnittet att avkoda en delmängd av YAML.

Sårbarheten har behandlats genom att ta bort YAML-gränssnittet och istället lägga till OkJson-gränssnittet.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3.5-1.2+squeeze6.

För uttestningsutgåvan (Wheezy), kommer detta problem rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.3.14-6 av paketet ruby-activesupport-2.3.

Version 3.2 av rails som finns i Debian Wheezy och Sid påverkas inte av detta problem.

Vi rekommenderar att ni uppgraderar era rails-paket.