Рекомендация Debian по безопасности
DSA-2982-1 ruby-activerecord-3.2 -- обновление безопасности
- Дата сообщения:
- 19.07.2014
- Затронутые пакеты:
- ruby-activerecord-3.2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-3482, CVE-2014-3483.
- Более подробная информация:
-
Шон Гриффин обнаружил две уязвимости в адаптере PostgreSQL для Active Record, которые могут приводить к SQL-инъекциям.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.6-5+deb7u1. Debian предоставляет два варианта
Ruby on Rails
в Wheezy (2.3 и 3.2). Поддержка версии 2.3 должна была быть прекращена. Это касается следующих пакетов с исходным кодом: ruby-actionmailer-2.3, ruby-actionpack-2.3 ruby-activerecord-2.3, ruby-activeresource-2.3, ruby-activesupport-2.3 и ruby-rails-2.3. Версия Redmine в Wheezy всё ещё требует версию 2.3, вы можете использовать обновлённую версию из архива backports.debian.org, она совместима с rails 3.2.В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.2.19-1 пакета с исходным кодом rails-3.2.
Рекомендуется обновить пакеты ruby-activerecord-3.2.