blob: d72fd2af2ce6c89cbabaf43eea51d60e4bb770f0 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
#use wml::debian::translation-check translation="349785ad5458f20aa8440cd4ce811d1d37e2b184"
<define-tag description>入力検証の誤り</define-tag>
<define-tag moreinfo>
<p>Phenoelit の joernchen さんが、ウェブアプリケーション開発向けの MVC ruby
ベースのフレームワーク rails がユーザにより提供された <q>find_by_*</q>
メソッドへの入力を適切に扱っていないことを発見しました。ruby on rails
アプリケーションがこのメソッドをどのように利用しているのかによりますが、攻撃者が
SQL インジェクション攻撃を実行することにより、例えば Authlogic
が利用されている場合はセッションの秘密トークンを知っていれば認証の迂回を許します。</p>
<p>安定版 (stable) ディストリビューション (squeeze)
では、この問題はバージョン 2.3.5-1.2+squeeze4 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション
(wheezy) では、この問題は近く修正予定です。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、この問題は
ruby-activerecord-2.3 のバージョン 2.3.14-3 で修正されています。</p>
<p>直ちに rails/ruby-activerecord-2.3
パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2597.data"
|
