Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2982-1 ruby-activerecord-3.2

Debians sikkerhedsbulletin

DSA-2982-1 ruby-activerecord-3.2 -- sikkerhedsopdatering

Rapporteret den:

19. jul 2014

Berørte pakker:

ruby-activerecord-3.2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-3482, CVE-2014-3483.

Yderligere oplysninger:

Sean Griffin opdagede to sårbarheder i PostgreSQL-adapteren til Active Record, hvilket kunne føre til SQL-indsprøjtning.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.2.6-5+deb7u1. Debian leverer to varianter af Ruby on Rails i Wheezy (2.3 og 3.2). Understøttelse af 2.3-varianter er på nuværende tidspunkt ikke længere muligt. Det påvirker følgende kildekodepakker: ruby-actionmailer-2.3, ruby-actionpack-2.3, ruby-activerecord-2.3, ruby-activeresource-2.3, ruby-activesupport-2.3 og ruby-rails-2.3. Versionen af Redmine i Wheezy kræver stadig 2.3, men man kan anvende en opdateret version fra backports.debian.org, som er kompatibel med rails 3.2.

I den ustabile distribution (sid), er disse problemer rettet i version 3.2.19-1 af kildekodepakken rails-3.2.

Vi anbefaler at du opgraderer dine ruby-activerecord-3.2-pakker.