Avis du CERT-FR

Objet: Vulnérabilités dans Ruby on Rails

Référence	CERTA-2012-AVI-306
Titre	Vulnérabilités dans Ruby on Rails
Date de la première version	05 juin 2012
Date de la dernière version	05 juin 2012
Source(s)	Annonces de mises à jour de sécurité de Ruby on Rails du 31 mai 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Injection SQL.

Deux vulnérabilités permettant à une personne malintentionnée d'effectuer des injections SQL ont été corrigées dans Ruby on Rails.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Annonce de publication Ruby on Rails 3.0.13 :

http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-0-13-has-been-released/

Annonce de publication Ruby on Rails 3.1.5 :

http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-1-5-has-been-released/

Annonce de publication Ruby on Rails 3.2.4 :

http://weblog.rubyonrails.org/2012/5/31/ann-rails-3-2-4-has-been-released/

Référence CVE CVE-2012-2660 :

https://www.cve.org/CVERecord?id=CVE-2012-2660

Référence CVE CVE-2012-2661 :

https://www.cve.org/CVERecord?id=CVE-2012-2661