Se
ha publicado una nueva versión de Ruby on Rails que soluciona dos vulnerabilidades
de inyección SQL cuando se usa PostgreSQL como base de datos.
Ruby on Rails, también conocido
como RoR o Rails, es un framework de aplicaciones web de código abierto escrito
en Ruby que sigue el paradigma de la arquitectura Modelo-Vista-Controlador
(MVC).
Las vulnerabilidades
residen en el adaptador PostgreSQL para Active Record, que es la clase que se
encarga de todo lo referente a conexiones y consultas a la base de datos. Los errores
residen en los tipos de consulta 'bitstring' (CVE-2014-3482), que afecta a versiones 2.0.0 hasta 3.2.18;
y a los tipos 'range' (CVE-2014-3483) que afecta a versiones 4.0.0 hasta 4.1.2. Estos
problemas podrían permitir a un atacante remoto llevar a cabo inyecciones SQL a
través de peticiones especialmente manipuladas.
El equipo de desarrollo de Rails,
ha publicado las versiones 3.2.19, 4.0.7 y 4.1.3 para
solucionar las vulnerabilidades. Si bien pocas horas después del anuncio han publicado
las versiones 4.0.8 y 4.1.4 para
corregir un problema de regresión en las versiones 4.0.7 y 4.1.3.
Más información:
Rails 3.2.19, 4.0.7 and 4.1.3 have been
released!
Rails 4.0.8 and 4.1.4 have been released!
[CVE-2014-3482] [CVE-2014-3483] Two Active
Record SQL Injection Vulnerabilities Affecting PostgreSQL
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario