El lenguaje de programación Ruby, ha lanzado una actualización de sus ramas 2.1x, 2.x y 1.9.x que solventa una vulnerabilidad remota.Detalle e impacto de la vulnerabilidad
- La vulnerabilidad, con CVE-2013-4164, común a todas las versiones indicadas, podría permitir realizar denegación de servicio y ejecución potencial de código arbitrario.
- Según su descubridor Charlie Somerville (@charliesome), desarrollador de Ruby, no existe un exploit por el momento, pero ha indicado que cualquier código vulnerable produce el desbordamiento de memoria al utilizar métodos o funciones que conviertan tipos desde orígenes desconocidos a coma flotante.
Recursos afectados
- Rama 1.9.x anterior a 1.9.3 p484
- Rama 2.0.x anterior a 2.0.0 p353
- Rama 2.1.x anterior a 2.1.0 preview2
Recomendación
Aquellos usuarios que todavía utilicen la rama 1.8 deberán migrar sus sistemas a las nuevas, ya que no hay soporte oficial para la misma. https://www.ruby-lang.org/en/downloads/
Más información:
- Heap Overflow in Floating Point Parsing (CVE-2013-4164) https://www.ruby-lang.org/en/news/2013/11/22/heap-overflow-in-floating-point-parsing-cve-2013-4164/
- Una al día ( 26/11/13) http://unaaldia.hispasec.com/2013/11/nuevas-versiones-de-ruby-corrigen.html