Debian DLA-604-1：ruby-actionpack-3.2 安全性更新

high Nessus Plugin ID 93132

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 ruby-actionpack-3.2 (一種網頁流量和轉譯架構，也是 Rails 一部分) 中發現多個弱點：

CVE-2015-7576

據發現，在執行 HTTP 基本驗證時，Action Controller 元件比較使用者名稱和密碼的方式有一個瑕疵。
花在比較字串的時間會因輸入而異，可能允許遠端攻擊者使用定時攻擊來判斷有效的使用者名稱和密碼。

CVE-2016-0751

在 Action Pack 元件執行 MIME 類型查閱的方式中發現一個瑕疵。由於查詢是快取在 MIME 類型的全域快取中，因此攻擊者可使用此瑕疵無限地增加快取，進而可能導致拒絕服務。

CVE-2016-0752

在 Action View 元件搜尋用於轉譯的範本的方式中發現一個目錄遊走瑕疵。如果應用程式傳送未受信任的輸入到「render」方法，未經驗證的遠端攻擊者可利用此瑕疵轉譯非預期的檔案，並可能執行任意程式碼。

CVE-2016-2097

針對 Action View 的特製要求可能導致從任意位置轉譯檔案，包括應用程式檢視目錄以外的檔案。此弱點是因為 CVE-2016-0752 的修正不完整所導致。這個錯誤是由 Makandra 的 Jyoti Singh 和 Tobias Kraze 所發現。

CVE-2016-2098

如果 Web 應用程式未正確清理使用者輸入，攻擊者可能控制控制器或檢視中轉譯方法的引數，進而導致可能執行任意 Ruby 程式碼。這個錯誤是由 Makandra 的 Tobias Kraze 和 Phenoelit 的 Joernchen 所發現。

CVE-2016-6316

Critical Juncture 的 Andrew Carpenter 發現一個會影響 Action View 的跨網站指令碼弱點。宣告為「HTML 安全」的文字在標籤協助程式中作為屬性值使用時，將不會逸出引號。

針對 Debian 7「Wheezy」，這些問題已在 3.2.6-6+deb7u3 版本中修正。

建議您升級 ruby-actionpack-3.2 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。