sábado, 28 de julio de 2012

Denegación de servicio en Ruby on Rails


Se han publicado nuevas versiones de Ruby on Rails que corrigen una vulnerabilidad que podría provocar una denegación de servicio en las versiones de las ramas 3.x.

Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC). 'Action Pack' es un componente de Rails que divide la respuesta a una petición web en dos partes: controlador (la lógica de la aplicación) y vista (la presentación). 'Action Pack' implementa, entre otros, los métodos del sistema de autenticación de usuarios.

Existe un error en el sistema de autenticación del módulo 'Action Pack' de Ruby on Rails que podría causar una denegación de servicio. Esta vulnerabilidad se debe a un error al procesar el resumen de la cadena de autenticación, en la función 'authenticate_or_request_with_http_digest', y convertirlo en símbolos.

Charlie Somerville, el descubridor de esta vulnerabilidad identificada como CVE-2012-3424, además ha propuesto el parche que la soluciona.

Afecta a las versiones 3.x de Rails. Se han publicado las versiones 3.0.16, 3.1.7, 3.2.7, que corrigen la vulnerabilidad, así como parches para las versiones 3.0.x, 3.1.x y 3.2.x para aquellos usuarios que no deseen realizar una actualización completa.

Más información:

Ruby on Rails DoS Vulnerability in authenticate_or_request_with_http_digest (CVE-2012-3424)



Juan José Ruiz



1 comentario:

  1. Ultimamente rails ha tenido varios bajones, no hace poco salió otro reporte de seguridad justamente sobre rails. Supongo que de todas formas es bueno ya que ayuda a mejorar el queridisimo framework de ruby

    ResponderEliminar