Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Publican más parches de seguridad en Rails
Desarrolladores de Ruby on Rails publicaron actualizaciones para Rails 3.2, 3.1 y 2.3 y alertaron a los usuarios a actualizar a JSON gem para cerrar una importante falla de seguridad. El problema más notable es CVE-2013-0277, otro problema con atributos serializados en YAML. La falla, que solo afecta a Rails 2.3 y 3.0 puede ser explotada para que una petición manual pueda de deserializar de forma arbitraria YAML dentro del servidor, con el riesgo de provocar una denegación de servicio o una ejecución de código remota.
Los desarrolladores de Rails han emitido una solución para Rails 2.3 y 2.3.17, pero no habrá solución para Rails 3.0 de acuerdo con la política de mantenimiento. El aviso contiene parches para varias versiones de Rails, para casos en los que el usuario no pueda realizar la actualización fácilmente.
El problema JSON gem, CVE-2013-0269, permite crear símbolos Ruby en ciertos documentos JSON cuando son analizados (parseados). Los símbolos no son basura recolectada y pueden ser utilizados para un ataque de negación de servicio. La técnica también permite a los atacantes crear objetos que actúan como objetos internos y pueden pasar por alto los mecanismos de seguridad. El boletín sugiere que esto podría ser utilizado para ayudar en ataques de inyección SQL en Ruby on Rails. Todas las versiones de JSON, incluidas las que se encuentran en la versión 1.9.x de Ruby se ven afectadas, no solo en aplicaciones Rails. Versiones actualizadas del gem están disponibles a través del sistema RubyGems y los parches están disponibles en el bletín.
Una solución para un problema de severidad menor, pero también serio, CVE-2013-0276, se incluye también para las versiones 3.2, 3.1 y 2.3 de Rails. El método attr_protected, utilizado para crear listas negras de atributos que podrían ser asignados por una petición, puede permitir a un atacante manipular los campos que deben ser protegidos con una solicitud manual especialmente diseñada. Se recomienda a los usuarios actualizar sus sistemas a 3.2.12, 3.1.11 y 2.3.17; soluciones que involucran cambios en las aplicaciones del uso de attr_accesible más que attr_protected o utilizar un parche incluido en el aviso.
