blob: b640b6c652b652ed4d43eaa4faa149647cbfe9a8 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
#use wml::debian::translation-check translation="349785ad5458f20aa8440cd4ce811d1d37e2b184" maintainer="Lev Lamberov"
<define-tag description>ошибка проверки ввода</define-tag>
<define-tag moreinfo>
<p>joernchen из Phenoelit обнаружил, что rails, инфраструктура на базе ruby для
разработки веб-приложений, неправильно интерпретирует
пользовательский ввод в методы <q>find_by_*</q>. В зависимости от того, как
приложение ruby on rails использует эти методы, эта уязвимость позволяет атакующему
выполнять инъекции SQL, напр., для обхода авторизации в том случае, если
используется Authlogic, и известен секретный токен сессии.</p>
<p>В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 2.3.5-1.2+squeeze4.</p>
<p>В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.</p>
<p>В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.3.14-3 пакета ruby-activerecord-2.3.</p>
<p>Рекомендуется обновить пакеты rails/ruby-activerecord-2.3.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2597.data"
# $Id$
|
