Publicadas versiones 3.2.16 y 4.0.2 de Ruby on Rails, que corrigen diversas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, crear ataques de cross-site scripting o generar consultas inseguras.

Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC). 

 
Se han detectado varios problemas de cross-site scripting, en componente de internacionalización (CVE-2013-4491), en la gema i18n (CVE-2013-4492) y en el método number_to_currency (CVE-2013-6415). Un último cross-site scripting en el método simple_format que solo afecta a las versiones 4.0.0 y 4.0.1 (CVE-2013-6416). 
 
Otra vulnerabilidad (CVE-2013-6414) reside en el componente de tratamiento de cabeceras "Action View" que podría permitir a un atacante consumir toda la memoria disponible del sistema atacado mediante el envío de datos manipulados, y provocar así condiciones de denegación de servicio. 
 
Por último, se ha detectado que la anterior corrección de un problema (CVE-2013-0155) de validación en "Active Record" y en el tratamiento de parámetros JSON era incompleta, lo que permitía a usuarios remotos generar consultas inseguras (CVE-2013-6417). 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/12/nuevas-versiones-de-ruby-on-rails.html#comments
 
Más información:
 
Rails 3.2.16 and 4.0.2 have been released!
http://weblog.rubyonrails.org/2013/12/3/Rails_3_2_16_and_4_0_2_have_been_released

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar