Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2929-1 ruby-actionpack-3.2

Bulletin d'alerte Debian

DSA-2929-1 ruby-actionpack-3.2 -- Mise à jour de sécurité

Date du rapport :

16 mai 2014

Paquets concernés :

ruby-actionpack-3.2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 747382.
Dans le dictionnaire CVE du Mitre : CVE-2014-0081, CVE-2014-0082, CVE-2014-0130.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Action Pack, un composant de Ruby on Rails.

• CVE-2014-0081

  actionview/lib/action_view/helpers/number_helper.rb contient plusieurs vulnérabilités de script intersite

• CVE-2014-0082

  actionpack/lib/action_view/template/text.rb réalise l'interning de symbole sur les chaînes de type MIME, permettant des attaques de déni de service distantes par augmentation de consommation de mémoire.

• CVE-2014-0130

  Une vulnérabilité de traversée de répertoires dans actionpack/lib/abstract_controller/base.rb permet à des attaquants distants de lire des fichiers arbitraires.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.6-6+deb7u2.

Nous vous recommandons de mettre à jour vos paquets ruby-actionpack-3.2.