Debians sikkerhedsbulletin
DSA-2929-1 ruby-actionpack-3.2 -- sikkerhedsopdatering
- Rapporteret den:
- 16. maj 2014
- Berørte pakker:
- ruby-actionpack-3.2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 747382.
I Mitres CVE-ordbog: CVE-2014-0081, CVE-2014-0082, CVE-2014-0130. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Action Pack, en komponent hørende til Ruby on Rails.
- CVE-2014-0081
actionview/lib/action_view/helpers/number_helper.rb indeholdt flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder.
- CVE-2014-0082
actionpack/lib/action_view/template/text.rb udførte symbolinterning på MIME-typestrenge, hvilket muliggjorde fjernudført lammelsesangreb (denial of service) ved hjælp af forøget hukommelsesforbrug.
- CVE-2014-0130
En mappegennemløbssårbarhed i actionpack/lib/abstract_controller/base.rb gjorde det muligt for fjernangribere at læse vilkårlige filer.
I den stabile distribution (wheezy), er disse problemer rettet i version 3.2.6-6+deb7u2.
Vi anbefaler at du opgraderer dine ruby-actionpack-3.2-pakker.
- CVE-2014-0081