miércoles, 4 de diciembre de 2013

Nuevas versiones de Ruby on Rails corrigen múltiples vulnerabilidades

Se han publicado las versiones 3.2.16 y 4.0.2 de Ruby on Rails, que corrigen diversas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, crear ataques de cross-site scripting o generar consultas inseguras.

Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

Se han detectado varios problemas de cross-site scripting, en componente de internacionalización (CVE-2013-4491), en la gema i18n (CVE-2013-4492) y en el método number_to_currency (CVE-2013-6415). Un último cross-site scripting en el método simple_format que solo afecta a las versiones 4.0.0 y 4.0.1 (CVE-2013-6416).

Otra vulnerabilidad (CVE-2013-6414) reside en el componente de tratamiento de cabeceras "Action View" que podría permitir a un atacante consumir toda la memoria disponible del sistema atacado mediante el envío de datos manipulados, y provocar así condiciones de denegación de servicio.

Por último, se ha detectado que la anterior corrección de un problema (CVE-2013-0155) de validación en "Active Record" y en el tratamiento de parámetros JSON era incompleta, lo que permitía a usuarios remotos generar consultas inseguras (CVE-2013-6417).

Más información:

Rails 3.2.16 and 4.0.2 have been released!



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada