6 de marzo de 2016

RUBY ON RAILS. Publicadas actualizaciones

Se han publicado las versiones Rails 4.2.5.2, 4.1.14.2 y 3.2.22.2 de Ruby on Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar código arbitrario.
Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
Detalle de las vulnerabilidades coregidas
  • El primero de los problemas, con CVE-2016-2097, una posible escalada de directorios y fuga de información en Action View que se corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos los escenarios. 
  • Por otra parte, con CVE-2016-0751 una vulnerabilidad de ejecución remota de código Action Pack debido a que no se filtran adecuadamente los datos introducidos por el usuario en el método "render".
Más información:
Fuente: Hispasec