FERRAMENTAS LINUX: Atualização de segurança do Debian para o Rails, aviso Debian LTS: DLA-2251-1

sábado, 20 de junho de 2020

Atualização de segurança do Debian para o Rails, aviso Debian LTS: DLA-2251-1




Confira !



Duas vulnerabilidades foram encontradas no Ruby on Rails, uma estrutura baseada em ruby ​​do MVC, voltada para o desenvolvimento de aplicativos da web, que pode levar à execução remota de código e ao uso não confiável de entrada do usuário, dependendo do

Pacote: Rails
Versão: 2: 4.1.8-1 + deb8u7
ID da CVE: CVE-2020-8164 CVE-2020-8165


Duas vulnerabilidades foram encontradas no Ruby on Rails, um MVC baseado em ruby
estrutura voltada para o desenvolvimento de aplicativos da web, o que poderia levar a
execução remota de código e uso não confiável de entrada de usuário, dependendo do
inscrição.

CVE-2020-8164

    Parâmetros fortes ignoram o vetor no ActionPack. Em alguns casos, o usuário
    informações fornecidas podem ser inadvertidamente vazadas do Strong
    Parâmetros. Especificamente, o valor de retorno de `each`, ou
    `each_value` ou` each_pair` retornará o valor subjacente
    hash "não confiável" de dados que foram lidos a partir dos parâmetros.
    Aplicativos que usam esse valor de retorno podem ser inadvertidamente usados
    entrada de usuário não confiável.

CVE-2020-8165

    Remoção potencialmente não intencional de objetos fornecidos pelo usuário em
    MemCacheStore. Existe um comportamento potencialmente inesperado no
    MemCacheStore onde, quando a entrada do usuário não confiável é gravada no diretório
    armazenamento em cache usando o parâmetro `raw: true`, relendo o resultado
    do cache pode avaliar a entrada do usuário como um objeto Marshalled
    em vez de texto sem formatação. A desserialização da entrada do usuário não confiável pode
    ter impacto até e incluindo o RCE. No mínimo, isso
    vulnerabilidade permite que um invasor injete objetos Ruby não confiáveis
    em um aplicativo da web.

    Além de atualizar para as versões mais recentes do Rails,
    desenvolvedores devem garantir que sempre que estiverem chamando
    `Rails.cache.fetch` eles estão usando valores consistentes do` raw`
    parâmetro para leitura e escrita.

Para o Debian 8 "Jessie", esses problemas foram corrigidos na versão
2: 4.1.8-1 + deb8u7.

Recomendamos que você atualize seus pacotes rails.

Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário