Se
han publicado nuevas versiones de Ruby on Rails que corrigen una vulnerabilidad
que podría provocar una denegación de servicio en las versiones de las ramas
3.x.
Ruby on Rails, o Rails, es un framework
de aplicaciones web de código abierto escrito en el lenguaje de programación
Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC). 'Action Pack'
es un componente de Rails que divide la respuesta a una petición web en dos partes:
controlador (la lógica de la aplicación) y vista (la presentación). 'Action
Pack' implementa, entre otros, los métodos del sistema de autenticación de
usuarios.
Existe un error en el sistema de
autenticación del módulo 'Action Pack'
de Ruby on Rails que podría causar una denegación
de servicio. Esta vulnerabilidad se debe a un error al procesar el resumen
de la cadena de autenticación, en la función 'authenticate_or_request_with_http_digest', y convertirlo en
símbolos.
Charlie Somerville, el descubridor
de esta vulnerabilidad identificada como CVE-2012-3424, además ha propuesto el
parche que la soluciona.
Afecta a las versiones 3.x de
Rails. Se han publicado las versiones 3.0.16,
3.1.7, 3.2.7, que corrigen la vulnerabilidad, así como parches para las
versiones 3.0.x, 3.1.x y 3.2.x para aquellos usuarios que no deseen realizar
una actualización completa.
Más información:
Ruby on Rails DoS Vulnerability
in authenticate_or_request_with_http_digest (CVE-2012-3424)
Juan José Ruiz
Ultimamente rails ha tenido varios bajones, no hace poco salió otro reporte de seguridad justamente sobre rails. Supongo que de todas formas es bueno ya que ayuda a mejorar el queridisimo framework de ruby
ResponderEliminar