lunes, 18 de agosto de 2014

Vulnerabilidad en Ruby on Rails

Se han publicado las versiones 4.0.9 y 4.1.5 de Ruby on Rails, que corrigen una vulnerabilidad que podría permitir a atacantes remotos asignar atributos arbitrarios en modelos.

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

La vulnerabilidad reside en la funcionalidad create_with de Active Record, implementada incorrectamente evita completamente la protección de parámetros. Las aplicaciones que pasen valores controlados por el usuario a create_with podrían permitir a un atacante asignar atributos arbitrarios en modelos.

Más información:

Rails 4.0.9 and 4.1.5 have been released!



Antonio Ropero
Twitter: @aropero

domingo, 17 de agosto de 2014

Microsoft recomienda desinstalar la actualización MS14-045

Microsoft ha eliminado uno de los últimos parches publicados dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes (del que ya efectuamos un resumen). En concreto parece ser que muchos usuarios han sufrido la "pantalla azul de la muerte" tras la instalación de la actualización MS14-045.

Microsoft ha retirado la actualización MS14-045 del "Download Center" y recomienda a todos los usuarios desinstalar este parche. Este boletín estaba calificado como "importante" y solucionaba tres vulnerabilidades en los controladores modo kernel que podrían permitir a un usuario elevar sus privilegios en el sistema. Afectaba a sistemas Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

Todo indica que la "pantalla azul de la muerte" se debe a un tratamiento incorrecto de las fuentes de Windows, y como el problema se produce durante el arranque se puede entrar en un bucle de reinicios. El código de error que ofrece es:
"0x50 PAGE_FAULT_IN_NONPAGED_AREA".

El error solo se presenta en circunstancias muy específicas, es necesario tener una o más fuentes OTF (OpenType Font) instaladas en directorios no estándar, que se graban en el registro.

Microsoft ha publicado una contramedida disponible en

Más información:

MS14-045: Description of the security update for kernel-mode drivers: August 12, 2014
Microsoft Security Bulletin MS14-045 - Important
Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2984615)

una-al-dia (12/08/2014) Boletines de seguridad de Microsoft de agosto



Antonio Ropero
Twitter: @aropero