Tomado de Hispasec
------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------
Hispasec - una-al-día 31/01/2016
Todos los días una noticia de seguridadwww.hispasec.com
Síguenos en Twitter:http://twitter.com/unaaldia
Noticia en formato
HTML:http://unaaldia.hispasec.com/2016/01/vulnerabilidades-en-ruby-on-rails.html
-------------------------------------------------------------------
Vulnerabilidades en Ruby on Rails
----------------------------------
Se han publicado las versiones Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1
y 3.2.22.1 de Ruby on Rails, que corrigen nueve vulnerabilidades que
podría permitir a atacantes remotos evitar restricciones de seguridad,
conseguir información sensible, construir ataques de cross-site
scripting o provocar condiciones de denegación de servicio.
Ruby on Rails, también conocido simplemente como Rails, es un framework
de aplicaciones web de código abierto escrito en el lenguaje de
programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador
(MVC).
El primero de los problemas, con CVE-2015-7576, reside en un ataque de
temporización en el soporte de autenticación básica en Action
Controller. Con CVE-2016-0751 una posible fuga de objetos y ataque de
denegación de servicio en Action Pack. Otra vulnerabilidad, con
CVE-2015-7577, en la característica de atributos anidados en el Active
Record al tratar actualizaciones en combinación con destrucción de
banderas cuando la destrucción de archivos está desactivada.
Por otra parte, con CVE-2016-0752, una posible fuga de información en
Action View. Con CVE-2016-0753 una evasion de la validación de entradas
en Active Model y por último, con CVE-2015-7581, una fuga de objetos
para controladores comodín en Action Pack.
También se ha publicado rails-html-sanitizer versión 1.0.3, que contiene
la corrección de tres vulnerabilidades de cross-site scripting (del
CVE-2015-7578 al CVE-2015-7580).
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2016/01/vulnerabilidades-en-ruby-on-rails.html#comments
Más información:
Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1, and rails-html-sanitizer
1.0.3 have been released!
http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/
------------------------------------------------------------------------------------------------------
saludos,
--
Michael González Medina
Administrador de Red
Centro Nacional de Sanidad Vegetal
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
