Salut, L'annonce de sécurité hebdomadaire concernant Rails a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Validation insuffisante des entrées</define-tag> <define-tag moreinfo> <p> Lawrence Pit a découvert que Ruby on Rails, un environnement de développement web, est vulnérable à un défaut d'analyse de JSON vers YAML. En utilisant une charge contrefaite pour l'occasion, les attaquants peuvent tromper le moteur dans le décodage d'un sous-ensemble de YAML. </p> <p> La vulnérabilité a été comblée en supprimant le moteur YAML et en ajoutant le moteur OkJson. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze6.</p> <p>Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14-6 du paquet ruby-activesupport-2.3.</p> <p> La version 3.2 de rails disponible dans Debian Wheezy et Sid n'est pas concernée par le problème. </p> <p>Nous vous recommandons de mettre à jour vos paquets rails.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2613.data" # $Id: dsa-2613.wml,v 1.1 2013-01-30 19:20:01 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature