Debians sikkerhedsbulletin
DSA-4242-1 ruby-sprockets -- sikkerhedsopdatering
- Rapporteret den:
- 9. jul 2018
- Berørte pakker:
- ruby-sprockets
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 901913.
I Mitres CVE-ordbog: CVE-2018-3760. - Yderligere oplysninger:
-
Orange Tsai opdagede en mappegennemløbsfejl i ruby-sprockets, et Rack-baseret asset-pakningssystem. En fjernangriber kunne drage nytte af fejlen til at læse vilkårlige filer udenfor en applikations rodmappe, gennem særligt fremstillede forespørgsler, når Sprockets-serveren anvendes i produktion.
I den stabile distribution (stretch), er dette problem rettet i version 3.7.0-1+deb9u1.
Vi anbefaler at du opgraderer dine ruby-sprockets-pakker.
For detaljeret sikkerhedsstatus vedrørende ruby-sprockets, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby-sprockets