Salut, L'annonce de sécurité hebdomadaire concernant Rails a été publiée (avec un peu de retard pour une fois), par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Deux vulnérabilités ont été découvertes dans Ruby on Rails, un environnement de développement web basé sur Ruby. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0276";>CVE-2013-0276</a> <p> La liste noire fournie par la méthode attr_protected pourrait être contournée avec des requêtes contrefaites, en ayant un impact spécifique à l'application. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-0277";>CVE-2013-0277</a> <p> Dans certaines applications, l'assistant +serialize+ dans ActiveRecord pourrait être piégé dans la désérialisation de données YAML arbitraires, avec pour conséquence éventuelle l'exécution de code à distance. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.3.5-1.2+squeeze7.</p> <p>Nous vous recommandons de mettre à jour vos paquets rails.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2620.data" # $Id: dsa-2620.wml,v 1.1 2013-02-12 21:30:14 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature