Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4242-1 ruby-sprockets

Aviso de seguridad de Debian

DSA-4242-1 ruby-sprockets -- actualización de seguridad

Fecha del informe:

9 de jul de 2018

Paquetes afectados:

ruby-sprockets

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 901913.
En el diccionario CVE de Mitre: CVE-2018-3760.

Información adicional:

Orange Tsai descubrió un defecto de escalado de directorios en ruby-sprockets, un sistema de empaquetado de recursos basado en Rack. Un atacante remoto puede aprovechar este defecto, cuando se usa el servidor Sprockets en producción, para leer ficheros arbitrarios fuera del directorio raíz de una aplicación por medio de peticiones manipuladas de una manera determinada.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 3.7.0-1+deb9u1.

Le recomendamos que actualice los paquetes de ruby-sprockets.

Para información detallada sobre el estado de seguridad de ruby-sprockets consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/ruby-sprockets