Risque
Injection SQL.
Systèmes affectés
- Ruby on Rails 3.0.x ;
- Ruby on Rails 3.1.x ;
- Ruby on Rails 3.2.x.
Résumé
Deux vulnérabilités permettant à une personne malintentionnée d'effectuer des injections SQL ont été corrigées dans Ruby on Rails.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonce de publication Ruby on Rails 3.0.13 :
http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-0-13-has-been-released/
- Annonce de publication Ruby on Rails 3.1.5 :
http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-1-5-has-been-released/
- Annonce de publication Ruby on Rails 3.2.4 :
http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-2-4-has-been-released/
- Référence CVE CVE-2012-2660 :
https://www.cve.org/CVERecord?id=CVE-2012-2660
- Référence CVE CVE-2012-2661 :
https://www.cve.org/CVERecord?id=CVE-2012-2661