sábado, 20 de junho de 2020
Atualização de segurança do Debian para o Rails, aviso Debian LTS: DLA-2251-1
Confira !
Duas vulnerabilidades foram encontradas no Ruby on Rails, uma estrutura baseada em ruby do MVC, voltada para o desenvolvimento de aplicativos da web, que pode levar à execução remota de código e ao uso não confiável de entrada do usuário, dependendo do
Pacote: Rails
Versão: 2: 4.1.8-1 + deb8u7
ID da CVE: CVE-2020-8164 CVE-2020-8165
Duas vulnerabilidades foram encontradas no Ruby on Rails, um MVC baseado em ruby
estrutura voltada para o desenvolvimento de aplicativos da web, o que poderia levar a
execução remota de código e uso não confiável de entrada de usuário, dependendo do
inscrição.
CVE-2020-8164
Parâmetros fortes ignoram o vetor no ActionPack. Em alguns casos, o usuário
informações fornecidas podem ser inadvertidamente vazadas do Strong
Parâmetros. Especificamente, o valor de retorno de `each`, ou
`each_value` ou` each_pair` retornará o valor subjacente
hash "não confiável" de dados que foram lidos a partir dos parâmetros.
Aplicativos que usam esse valor de retorno podem ser inadvertidamente usados
entrada de usuário não confiável.
CVE-2020-8165
Remoção potencialmente não intencional de objetos fornecidos pelo usuário em
MemCacheStore. Existe um comportamento potencialmente inesperado no
MemCacheStore onde, quando a entrada do usuário não confiável é gravada no diretório
armazenamento em cache usando o parâmetro `raw: true`, relendo o resultado
do cache pode avaliar a entrada do usuário como um objeto Marshalled
em vez de texto sem formatação. A desserialização da entrada do usuário não confiável pode
ter impacto até e incluindo o RCE. No mínimo, isso
vulnerabilidade permite que um invasor injete objetos Ruby não confiáveis
em um aplicativo da web.
Além de atualizar para as versões mais recentes do Rails,
desenvolvedores devem garantir que sempre que estiverem chamando
`Rails.cache.fetch` eles estão usando valores consistentes do` raw`
parâmetro para leitura e escrita.
Para o Debian 8 "Jessie", esses problemas foram corrigidos na versão
2: 4.1.8-1 + deb8u7.
Recomendamos que você atualize seus pacotes rails.
Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
Debian,
Linux,
linux distros,
Linux Segurança,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário