セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2830-1 ruby-i18n

Debian セキュリティ勧告

DSA-2830-1 ruby-i18n -- クロスサイトスクリプティング

報告日時:

2013-12-30

影響を受けるパッケージ:

ruby-i18n

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-4492.

詳細:

Peter McLarnan さんが、Ruby on Rails の i18n gem が、生成する HTML コード中のパラメータを適切にエンコードしていないことを発見しました。 その結果クロスサイトスクリプティング脆弱性が発生します。この更新では ruby-i18n パッケージで提供される i18n gem の根本的な脆弱性を修正します。

旧安定版 (oldstable) ディストリビューション (squeeze) にはこの問題による影響はありません。収録されている libi18n-ruby パッケージには脆弱なコードは含まれません。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 0.6.0-3+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.6.9-1 で修正されています。

直ちに ruby-i18n パッケージをアップグレードすることを勧めます。