Рекомендация Debian по безопасности
DSA-3509-1 rails -- обновление безопасности
- Дата сообщения:
- 09.03.2016
- Затронутые пакеты:
- rails
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-2097, CVE-2016-2098.
- Более подробная информация:
-
В Rails, инфраструктуре для создания веб-приложений, написанной на Ruby, было обнаружено две уязвимости. Обе уязвимости касаются Action Pack, который обрабатывает веб-запросы для Rails.
- CVE-2016-2097
Специально сформированные запросы к Action View, одному из компонентов Action Pack, могут приводить к отрисовке файлов с произвольным местоположением, включая файлы за пределами каталога видов данного приложения. Эта уязвимость появилась в результате неполного исправления CVE-2016-0752. Эта ошибка была обнаружена Джоти Сингом и Тобиасом Краце из Makandra.
- CVE-2016-2098
Если веб-приложения неправильно выполняют очистку пользовательских входных данных, то злоумышленник может управлять аргументами метода отрисовки в контроллере или виде, что приводит к возможному выполнению произвольного кода. Эта ошибка была обнаружена Тобиасов Краце из Makandra и joernchen из Phenoelit.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2:4.1.8-1+deb8u2.
В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 2:4.2.5.2-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2:4.2.5.2-1.
Рекомендуется обновить пакеты rails.
- CVE-2016-2097