domingo, 6 de julio de 2014

Vulnerabilidades de inyección SQL en Ruby on Rails

Se ha publicado una nueva versión de Ruby on Rails que soluciona dos vulnerabilidades de inyección SQL cuando se usa PostgreSQL como base de datos.

Ruby on Rails, también conocido como RoR o Rails, es un framework de aplicaciones web de código abierto escrito en Ruby que sigue el paradigma de la arquitectura Modelo-Vista-Controlador (MVC).

Las vulnerabilidades residen en el adaptador PostgreSQL para Active Record, que es la clase que se encarga de todo lo referente a conexiones y consultas a la base de datos. Los errores residen en los tipos de consulta 'bitstring' (CVE-2014-3482), que afecta a versiones 2.0.0 hasta 3.2.18; y a los tipos 'range' (CVE-2014-3483) que afecta a versiones 4.0.0 hasta 4.1.2. Estos problemas podrían permitir a un atacante remoto llevar a cabo inyecciones SQL a través de peticiones especialmente manipuladas.

El equipo de desarrollo de Rails, ha publicado las versiones 3.2.19, 4.0.7 y 4.1.3 para solucionar las vulnerabilidades. Si bien pocas horas después del anuncio han publicado las versiones 4.0.8 y 4.1.4 para corregir un problema de regresión en las versiones 4.0.7 y 4.1.3.

Más información:

Rails 3.2.19, 4.0.7 and 4.1.3 have been released!

Rails 4.0.8 and 4.1.4 have been released!

[CVE-2014-3482] [CVE-2014-3483] Two Active Record SQL Injection Vulnerabilities Affecting PostgreSQL



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada