Saludos nuevamente.
En Hispasec – Una al Día se publicó la notificación de actualización de Ruby on Rails, un framework de programación Web de código abierto hecho en Ruby. Bueno, quizás para muchos no sea muy conocido, pero un amigo mío que se dedica a los temas de DevOps trabaja con Ruby y hace ciertas cositas interesantes.
Véan la noticia:
Vulnerabilidades en Ruby on Rails
viernes, 4 de marzo de 2016
Se han publicado las versiones Rails 4.2.5.2, 4.1.14.2 y 3.2.22.2 de Ruby on Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar código arbitrario.
Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
El primero de los problemas, con CVE-2016-2097, una posible escalada de directorios y fuga de información en Action View que se corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos los escenarios. Por otra parte, con CVE-2016-0751 una vulnerabilidad de ejecución remota de código Action Pack debido a que no se filtran adecuadamente los datos introducidos por el usuario en el método «render«.
Más información:
Rails 4.2.5.2, 4.1.14.2 and 3.2.22.2 have been released! http://weblog.rubyonrails.org/2016/2/29/Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/
[CVE-2016-2097] Possible Information Leak Vulnerability in Action View.
https://groups.google.com/forum/#!msg/rubyonrails-security/ddY6HgqB2z4/we0RasMZIAAJ
[CVE-2016-2098] Possible remote code execution vulnerability in Action Pack
https://groups.google.com/forum/#!msg/rubyonrails-security/ly-IH-fxr_Q/WLoOhcMZIAAJ
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
