Boletines de Vulnerabilidades

int(5999)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en rails en Debian
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Ejecucion remota de codigo
Dificultad	Experto
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	rails
Descripción
Se han descubierto múltiples vulnerabilidades en "rails" en Debian. Las vulnerabilidades son descritas a continuación: - CVE-2011-2930: Se ha descubierto una vulnerabilidad en "rails" en Debian. La vulnerabilidad reside en un error en "quote_table_name". Un atacante remoto podría obtener acceso y ejecutar código arbitrario mediante consultas SQL especialmente manipuladas. - CVE-2011-2931: Se ha descubierto una vulnerabilidad en "rails" en Debian. La vulnerabilidad reside en un error en "actionpack/lib/action_controller/vendor/html-scanner/html/node.rb". Un atacante remoto podría obtener acceso y ejecutar código arbitrario mediante comandos web. - CVE-2011-3186: Se ha descubierto una vulnerabilidad en "rails" en Debian. La vulnerabilidad reside en un error en "Ruby" en la función "actionpack/lib/action_controller/response.rb". Un atacante remoto podría obtener acceso y ejecutar código arbitrario mediante un ataque HTTP.
Solución
Actualización de software Debian (DSA-2301-1) Para la antigua distribución estable (lenny), este problema se ha corregido en la versión 2.1.0-7 + lenny1. Para la distribución estable (squeeze), este problema se ha corregido en la versión 2.3.5-1.2 + squeeze1. Para la distribución inestable (sid), este problema se ha corregido en la versión 2.3.14. http://www.debian.org/security/
Identificadores estándar
Propiedad	Valor
CVE	CVE-2011-2930 CVE-2011-2931 CVE-2011-3186
BID
Recursos adicionales
Debian Security Advisory (DSA-2301-1) http://lists.debian.org/debian-security-announce/2011/msg00177.html