martes, 19 de agosto de 2014

Denegación de servicio en Monkey Web Server

Se ha anunciado una vulnerabilidad de denegación de servicio en el servidor web Monkey Web Server versiones anteriores a 1.5.3.

Monkey Web Server es, como su nombre indica, un servidor web muy ligero y rápido y que además es software libre. Es muy útil y usado en pequeños sistemas como RaspberryPi o incluso móviles con software modificado, ya soporta procesadores ARM, x86 y x64.

Monkey Web Server cuenta con una tabla de descriptores de fichero (FDT) que es utilizada para compartir descriptores de fichero abiertos entre varios hilos y diferentes virtual hosts. Esto hace que la memoria usada para estos descriptores, en promedio, sea menor. En la configuración por defecto esta característica está activada.

Al realizar una petición que genere algún error personalizado, se abre el correspondiente archivo de disco para dicho error. Si un atacante solicita muchas páginas de error distintas, se abrirán un gran número de descriptores de fichero en la tabla FDT, hasta que el proceso alcance el límite de descriptores de fichero impuesto por el sistema operativo (que viene definido por el parámetro del sistema 'ulimit'). A partir de entonces, cualquier petición que requiera la apertura de un archivo quedará bloqueada y generará un error 403 hasta que el servidor web se reinicie.

La vulnerabilidad tiene asignado el CVE-2014-5336 y queda solucionada en la versión 1.5.3.

Más información:

Monkey HTTP Server v1.5.3 - Release notes:

GitHub - Request: new request session flag to mark those files opened
by FDT:



Antonio Sánchez

lunes, 18 de agosto de 2014

Vulnerabilidad en Ruby on Rails

Se han publicado las versiones 4.0.9 y 4.1.5 de Ruby on Rails, que corrigen una vulnerabilidad que podría permitir a atacantes remotos asignar atributos arbitrarios en modelos.

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

La vulnerabilidad reside en la funcionalidad create_with de Active Record, implementada incorrectamente evita completamente la protección de parámetros. Las aplicaciones que pasen valores controlados por el usuario a create_with podrían permitir a un atacante asignar atributos arbitrarios en modelos.

Más información:

Rails 4.0.9 and 4.1.5 have been released!



Antonio Ropero
Twitter: @aropero