logo RailsSe han publicado las versiones 3.2.16 y 4.0.2 de Ruby on Rails, que corrigen diversas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, crear ataques de cross-site scripting o generar consultas inseguras.
Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
Se han detectado varios problemas de cross-site scripting, en componente de internacionalización (CVE-2013-4491), en la gema i18n (CVE-2013-4492) y en el método number_to_currency (CVE-2013-6415). Un último cross-site scripting en el método simple_format que solo afecta a las versiones 4.0.0 y 4.0.1 (CVE-2013-6416).
Otra vulnerabilidad (CVE-2013-6414) reside en el componente de tratamiento de cabeceras “Action View” que podría permitir a un atacante consumir toda la memoria disponible del sistema atacado mediante el envío de datos manipulados, y provocar así condiciones de denegación de servicio.
Por último, se ha detectado que la anterior corrección de un problema (CVE-2013-0155) de validación en “Active Record” y en el tratamiento de parámetros JSON era incompleta, lo que permitía a usuarios remotos generar consultas inseguras (CVE-2013-6417).
Más información:
Rails 3.2.16 and 4.0.2 have been released!
Antonio Ropero
Twitter: @aropero

matiasmascaDesarrolloRubySeguridadFramework,Modelo-Vista-Controlador,Rails,Ruby on RailsSe han publicado las versiones 3.2.16 y 4.0.2 de Ruby on Rails, que corrigen diversas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, crear ataques de cross-site scripting o generar consultas inseguras. Ruby on Rails, o Rails, es un framework de aplicaciones web de código...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.