Информация по безопасности / 2014 / Информация о безопасности -- DSA-2929-1 ruby-actionpack-3.2

Рекомендация Debian по безопасности

DSA-2929-1 ruby-actionpack-3.2 -- обновление безопасности

Дата сообщения:

16.05.2014

Затронутые пакеты:

ruby-actionpack-3.2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 747382.
В каталоге Mitre CVE: CVE-2014-0081, CVE-2014-0082, CVE-2014-0130.

Более подробная информация:

В Action Pack, компоненте Ruby on Rails, были обнаружены несколько уязвимостей.

• CVE-2014-0081

  actionview/lib/action_view/helpers/number_helper.rb содержит многочисленные уязвимости, проявляющиеся в межсайтовом скриптинге

• CVE-2014-0082

  actionpack/lib/action_view/template/text.rb выполняет интернирование символов для строк типов MIME и приводит к удалённому вызову отказа в обслуживании через увеличение потребления памяти.

• CVE-2014-0130

  Уязвимость, проявляющаяся в возможности изменения каталога, в actionpack/lib/abstract_controller/base.rb позволяет удалённым атакующим читать произвольные файлы.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.6-6+deb7u2.

Рекомендуется обновить пакеты ruby-actionpack-3.2.