Debian セキュリティ勧告

DSA-2929-1 ruby-actionpack-3.2 -- セキュリティ更新

報告日時:

2014-05-16

影響を受けるパッケージ:

ruby-actionpack-3.2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 747382.
Mitre の CVE 辞書: CVE-2014-0081, CVE-2014-0082, CVE-2014-0130.

詳細:

Ruby on Rails の構成要素 Action Pack に脆弱性が複数見つかりました。

CVE-2014-0081
actionview/lib/action_view/helpers/number_helper.rb にクロスサイトスクリプティング脆弱性が複数ありました。
CVE-2014-0082
actionpack/lib/action_view/template/text.rb が MIME タイプ文字列をシンボルに変換し、メモリ消費増加によるリモートからのサービス拒否攻撃を許します。
CVE-2014-0130
actionpack/lib/abstract_controller/base.rb にディレクトリトラバーサルの脆弱性があり、リモートの攻撃者に任意のファイルの読み取りを許します。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.2.6-6+deb7u2 で修正されています。

直ちに ruby-actionpack-3.2 パッケージをアップグレードすることを勧めます。