Информация по безопасности / 2014 / Информация о безопасности -- DSA-2982-1 ruby-activerecord-3.2

Рекомендация Debian по безопасности

DSA-2982-1 ruby-activerecord-3.2 -- обновление безопасности

Дата сообщения:

19.07.2014

Затронутые пакеты:

ruby-activerecord-3.2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-3482, CVE-2014-3483.

Более подробная информация:

Шон Гриффин обнаружил две уязвимости в адаптере PostgreSQL для Active Record, которые могут приводить к SQL-инъекциям.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.6-5+deb7u1. Debian предоставляет два варианта Ruby on Rails в Wheezy (2.3 и 3.2). Поддержка версии 2.3 должна была быть прекращена. Это касается следующих пакетов с исходным кодом: ruby-actionmailer-2.3, ruby-actionpack-2.3 ruby-activerecord-2.3, ruby-activeresource-2.3, ruby-activesupport-2.3 и ruby-rails-2.3. Версия Redmine в Wheezy всё ещё требует версию 2.3, вы можете использовать обновлённую версию из архива backports.debian.org, она совместима с rails 3.2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.2.19-1 пакета с исходным кодом rails-3.2.

Рекомендуется обновить пакеты ruby-activerecord-3.2.