Säkerhetsbulletin från Debian
DSA-4242-1 ruby-sprockets -- säkerhetsuppdatering
- Rapporterat den:
- 2018-07-09
- Berörda paket:
- ruby-sprockets
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 901913.
I Mitres CVE-förteckning: CVE-2018-3760. - Ytterligare information:
-
Orange Tsai upptäckte en sökvägstraverseringsbrist i ruby-sprockets, ett Rack-baserat förpackningssystem för tillgångar. En fjärrangripare kan dra fördel av denna brist för att läsa godtyckliga filer utanför en applikations rootsökväg via speciellt skapade förfrågningar, när Sprockets-servern används i drift.
För den stabila utgåvan (Stretch) har detta problem rättats i version 3.7.0-1+deb9u1.
Vi rekommenderar att ni uppgraderar era ruby-sprockets-paket.
För detaljerad säkerhetsstatus om ruby-sprockets vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ruby-sprockets