Säkerhetsbulletin från Debian
DSA-2929-1 ruby-actionpack-3.2 -- säkerhetsuppdatering
- Rapporterat den:
- 2014-05-16
- Berörda paket:
- ruby-actionpack-3.2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 747382.
I Mitres CVE-förteckning: CVE-2014-0081, CVE-2014-0082, CVE-2014-0130. - Ytterligare information:
-
Flera sårbarheter har upptäckts i Action Pack, en komponent av Ruby on Rails.
- CVE-2014-0081
actionview/lib/action_view/helpers/number_helper.rb innehåller flera domänöverskridande skriptsårbarheter,
- CVE-2014-0082
actionpack/lib/action_view/template/text.rb utför symbolinternering på MIME-typsträngar, vilket tillåter fjärröverbelastningsangrepp via ökad minneskonsumption.
- CVE-2014-0130
En sårbarhet för katalogtraversering i actionpack/lib/abstract_controller/base.rb tillåter fjärrangripare att läsa godtyckliga filer.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.6-6+deb7u2.
Vi rekommenderar att ni uppgraderar era ruby-actionpack-3.2-paket.
- CVE-2014-0081