[Gutl-l] Fw: Vulnerabilidades en Ruby on Rails [Hispasec @unaaldia]

Sun, 06 Mar 2016 09:24:58 -0800 

----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----

   Date: Fri, 04 Mar 2016 23:00:10 -0500
   From: Salcocho Noticioso <feedblas...@hcg.sld.cu>
   To: laz...@hcg.sld.cu
   Subject: Vulnerabilidades en Ruby on Rails [Hispasec @unaaldia]
   X-Mailer: feedblaster.rb - ruby 2.3.0p0 (2015-12-25 revision 53290) 
[x86_64-linux]

Vulnerabilidades en Ruby on Rails

Se han publicado las versiones Rails 4.2.5.2, 4.1.14.2y 3.2.22.2de Ruby on
Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes
remotos conseguir información sensible o ejecutar código arbitrario.

[Ruby_on_Rails_logo]
Ruby on Rails, también conocido simplemente como Rails, es un framework de
aplicaciones web de código abierto escrito en el lenguaje de programación Ruby,
que sigue la arquitectura Modelo-Vista-Controlador (MVC).

El primero de los problemas, con CVE-2016-2097, una posible escalada de
directorios y fuga de información en Action View que se corrigió con el
CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos
los escenarios. Por otra parte, con CVE-2016-0751 una vulnerabilidad de
ejecución remota de código Action Pack debido a que no se filtran adecuadamente
los datos introducidos por el usuario en el método "render".

Más información:

Rails 4.2.5.2, 4.1.14.2 and 3.2.22.2 have been released! http://
weblog.rubyonrails.org/2016/2/29/
Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/

[CVE-2016-2097] Possible Information Leak Vulnerability in Action View.
https://groups.google.com/forum/#!msg/rubyonrails-security/ddY6HgqB2z4/
we0RasMZIAAJ

[CVE-2016-2098] Possible remote code execution vulnerability in Action Pack
https://groups.google.com/forum/#!msg/rubyonrails-security/ly-IH-fxr_Q/
WLoOhcMZIAAJ


                                                                 Antonio Ropero
                                                          anton...@hispasec.com
                                                              Twitter: @aropero
*

----- End forwarded message -----

-- 
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a