Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad en "Ruby on Rails" podría provocar 200 mil sitios fuera de servicio
En el ámbito de la seguridad informática existen"bugs" y luego están los errores. Ésto último se refiere a una sensación real, el tipo de error que podría hacer que una página web caiga y exponga los datos del usuario si la gente equivocada lo averigua. Un error de este tipo fue descubierto en Ruby on Rails y se estima que alrededor de 200 mil sitios web están en riesgo de ataque.
El error es de mayor gravedad y se deriva de la manera en que Rails maneja parámetros de formato. Aunque es complicado, el objeto ataque de inyección es 100% efectivo, tal y como se describe. Puede dar a un hacker el acceso remoto necesario para ejecutar cualquier código en el servidor que ejecuta Rails. Esto permite al atacante hacer casi cualquier cosa, incluyendo copia de los datos, borrado de recursos web y simplemente poner el sitio fuera de línea sin todo ese sucio DDoS-ing.Ruby on Rails es un "framework" web muy popular que se usa en sitios como Hulu, Basecamp, Github y Groupon. Lo que es peor, es que el error ha estado presente durante los últimos seis años, asegurando que la mayoría de las implementaciones existentes de Rails se ven afectadas. Los expertos en seguridad temen que un gusano que salte de un sitio a otro pueda llegar a ser desarrollado, explotando la prevalencia de esta vulnerabilidad con resultados desastrosos.
Se aconseja a administradores que corren Rails asegurarse de que su servidor ejecute 3.2.11, 3.1.10, 3.0.19, o 2.3.15. Se debe actualizar inmediatamente a una de estas versiones arregladas para impedir que useando este error se infiltren a un servidor. Si la actualización no es posible, se recomienda a los desarrolladores (urgentemente) deshabilitar XML.
