Debian DLA-604-1：ruby-actionpack-3.2 安全更新

high Nessus 插件 ID 93132

语言：

简介

远程 Debian 主机缺少安全更新。

描述

已在 ruby-actionpack-3.2（一种 web 流量和渲染框架，也是 Rails 的一部分）中发现多种漏洞：

CVE-2015-7576

在执行 HTTP 基本认证时，于 Action Controller 组件比较用户名和密码的方式中发现一个缺陷。
花在比较字符串的时间会因输入而异，可能允许远程攻击者使用时序攻击来判断有效的用户名和密码。

CVE-2016-0751

在 Action Pack 组件执行 MIME 类型查找的方式中发现一个缺陷。由于查询是缓存在 MIME 类型的全局缓存中，因此攻击者可使用此缺陷无限地增加缓存，进而可能导致拒绝服务。

CVE-2016-0752

在 Action View 组件搜索用于渲染的范本的方式中发现一个目录遍历缺陷。如果应用程序将不受信任的输入发送到“render”方法，未经认证的远程攻击者可利用此缺陷渲染非预期的文件，并可能执行任意代码。

CVE-2016-2097

对于 Action View 的特别构建的请求可能会导致从任意位置渲染文件，包括应用程序视图目录以外的文件。此漏洞是因为 CVE-2016-0752 的修复不完整所致。这个缺陷是 Makandra 的 Jyoti Singh 和 Tobias Kraze 发现的。

CVE-2016-2098

如果 Web 应用程序未正确审查用户输入，攻击者可能会控制控制器或视图中渲染方法的参数，进而导致可能执行任意 Ruby 代码。这个缺陷是 Makandra 的 Tobias Kraze 和 Phenoelit 的 Joernchen 发现的。

CVE-2016-6316

Critical Juncture 的 Andrew Carpenter 发现一个会影响 Action View 的跨站脚本漏洞。断言为“HTML 安全”的文本在被用作标签帮助程序中的属性值时，将不会转义引号。

对于 Debian 7“Wheezy”，这些问题已在 3.2.6-6+deb7u3 版本中修复。

建议您升级 ruby-actionpack-3.2 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。