Se han publicado nuevas versiones de Ruby on Rails que corrigen una vulnerabilidad que podría provocar una denegación de servicio en las versiones de las ramas 3.x.

Autor: Juan José Ruiz || Fuente: http://unaaldia.hispasec.com/2012/07/la-inmensa-desinformacion-sobre-el.html

Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC). ‘Action Pack’ es un
componente de Rails que divide la respuesta a una petición web en dos partes: controlador (la lógica de la aplicación) y vista (la presentación). ‘Action Pack’ implementa, entre otros, los métodos del sistema de autenticación de usuarios.

Existe un error en el sistema de autenticación del módulo ‘Action Pack’ de Ruby on Rails que podría causar una denegación de servicio. Esta vulnerabilidad se debe a un error al procesar el resumen de la cadena de autenticación, en la función ‘authenticate_or_request_with_http_digest’, y convertirlo en símbolos.

Charlie Somerville, el descubridor de esta vulnerabilidad identificada como CVE-2012-3424, además ha propuesto el parche que la soluciona.

Afecta a las versiones 3.x de Rails. Se han publicado las versiones 3.0.16, 3.1.7, 3.2.7, que corrigen la vulnerabilidad, así como parches para las versiones 3.0.x, 3.1.x y 3.2.x para aquellos usuarios que no
deseen realizar una actualización completa.

Más información:

Ruby on Rails DoS Vulnerability in authenticate_or_request_with_http_digest (CVE-2012-3424)
https://groups.google.com/forum/?fromgroups#!topic/rubyonrails-security/vxJjrc15qYM

Juan José Ruiz
jruiz@hispasec.com

Fox TroopDesarrolloSeguridadRoR,RubySe han publicado nuevas versiones de Ruby on Rails que corrigen una vulnerabilidad que podría provocar una denegación de servicio en las versiones de las ramas 3.x. Autor: Juan José Ruiz || Fuente: http://unaaldia.hispasec.com/2012/07/la-inmensa-desinformacion-sobre-el.html Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.