Se ha publicado una nueva versión de Ruby on Rails que
soluciona dos vulnerabilidades de inyección SQL cuando se usa PostgreSQL como
base de datos.
Ruby on Rails,
también conocido como RoR o Rails, es un framework de aplicaciones web de
código abierto escrito en Ruby que sigue el paradigma de la arquitectura
Modelo-Vista-Controlador (MVC).
Detalle de las vulnerabilidades
- Las vulnerabilidades residen en el adaptador PostgreSQL para Active Record, que es la clase que se encarga de todo lo referente a conexiones y consultas a la base de datos. Los errores residen en los tipos de consulta 'bitstring' (CVE-2014-3482), que afecta a versiones 2.0.0 hasta 3.2.18; y a los tipos 'range' (CVE-2014-3483) que afecta a versiones 4.0.0 hasta 4.1.2. Estos problemas podrían permitir a un atacante remoto llevar a cabo inyecciones SQL a través de peticiones especialmente manipuladas.
- El equipo de desarrollo de Rails, ha publicado las versiones 3.2.19, 4.0.7 y 4.1.3 para solucionar las vulnerabilidades. Si bien pocas horas después del anuncio han publicado las versiones 4.0.8 y 4.1.4 para corregir un problema de regresión en las versiones 4.0.7 y 4.1.3.
- Rails 3.2.19, 4.0.7 and 4.1.3 have been released! http://weblog.rubyonrails.org/2014/7/2/Rails_3_2_19_4_0_7_and_4_1_3_have_been_released/
- Rails 4.0.8 and 4.1.4 have been released! http://weblog.rubyonrails.org/2014/7/2/Rails_4_0_8_and_4_1_4_have_been_released/
- [CVE-2014-3482] [CVE-2014-3483] Two Active Record SQL Injection Vulnerabilities Affecting PostgreSQL https://groups.google.com/d/msg/rubyonrails-security/wDxePLJGZdI/WP7EasCJTA4J