Se
han publicado las versiones Rails
5.0.0.beta1.1, 4.2.5.1, 4.1.14.1
y 3.2.22.1
de Ruby on Rails, que corrigen nueve vulnerabilidades
que podría permitir a atacantes remotos evitar
restricciones de seguridad, conseguir información sensible, construir ataques
de cross-site scripting o provocar condiciones de denegación de servicio.
Ruby
on Rails, también conocido simplemente como Rails, es un framework de
aplicaciones web de código abierto escrito en el lenguaje de programación Ruby,
que sigue la arquitectura Modelo-Vista-Controlador (MVC).
El primero de los problemas,
con CVE-2015-7576, reside en un ataque de temporización en el soporte de
autenticación básica en Action Controller. Con CVE-2016-0751 una posible fuga
de objetos y ataque de denegación
de servicio en Action Pack. Otra vulnerabilidad, con CVE-2015-7577, en la
característica de atributos
anidados en el Active Record al tratar actualizaciones en combinación con destrucción
de banderas cuando la destrucción de archivos está desactivada.
Por otra parte, con CVE-2016-0752,
una posible fuga
de información en Action View. Con CVE-2016-0753 una evasion de la validación
de entradas en Active Model y por último, con CVE-2015-7581, una fuga de
objetos para controladores comodín en Action Pack.
También se ha publicado
rails-html-sanitizer versión 1.0.3, que contiene la corrección de tres
vulnerabilidades de cross-site scripting (del CVE-2015-7578 al CVE-2015-7580).
Más información:
Rails
5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1, and rails-html-sanitizer 1.0.3 have
been released!
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario