Se
han publicado las versiones Rails 4.2.5.2,
4.1.14.2
y 3.2.22.2
de Ruby
on Rails, que corrigen dos
vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar
código arbitrario.
Ruby
on Rails, también conocido simplemente como Rails, es un framework de
aplicaciones web de código abierto escrito en el lenguaje de programación Ruby,
que sigue la arquitectura Modelo-Vista-Controlador (MVC).
El primero de los problemas,
con CVE-2016-2097, una posible escalada de directorios y fuga de información en
Action View que se
corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no
se trataron todos los escenarios. Por otra parte, con CVE-2016-0751 una
vulnerabilidad de ejecución remota de código Action Pack debido a que no se
filtran adecuadamente los datos introducidos por el usuario en el método "render".
Más información:
Rails
4.2.5.2, 4.1.14.2 and 3.2.22.2 have been released! http://weblog.rubyonrails.org/2016/2/29/Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/
[CVE-2016-2097] Possible Information Leak Vulnerability in Action View.
[CVE-2016-2098]
Possible remote code execution vulnerability in Action Pack
Antonio Ropero
No hay comentarios:
Publicar un comentario