Vulnerabilidades en Ruby on Rails

Noticias

Se han publicado las versiones Rails 4.2.5.24.1.14.2 y 3.2.22.2 de Ruby on Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar código arbitrario.

 

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
 
El primero de los problemas, con CVE-2016-2097, consiste en una posible escalada de directorios y fuga de información en Action View que se corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos los escenarios. Por otra parte, con CVE-2016-0751 una vulnerabilidad de ejecución remota de código Action Pack debido a que no se filtran adecuadamente los datos introducidos por el usuario en el método "render".
 
Más información:
 
Rails 4.2.5.2, 4.1.14.2 and 3.2.22.2 have been released! http://weblog.rubyonrails.org/2016/2/29/Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/
 
[CVE-2016-2097] Possible Information Leak Vulnerability in Action View.
https://groups.google.com/forum/#!msg/rubyonrails-security/ddY6HgqB2z4/we0RasMZIAAJ
 
[CVE-2016-2098] Possible remote code execution vulnerability in Action Pack
https://groups.google.com/forum/#!msg/rubyonrails-security/ly-IH-fxr_Q/WLoOhcMZIAAJ

Categorías » Noticias
En Mar. 11, 2016
Etiquetas :