Nueva versión de la solución Ruby on Rails publicada y que soluciona dos vulnerabilidades de inyección SQL cuando se usa PostgreSQL como base de datos.

Ruby on Rails, también conocido como RoR o Rails, es un framework de aplicaciones web de código abierto escrito en Ruby que sigue el paradigma de la arquitectura Modelo-Vista-Controlador (MVC). 

 
Las vulnerabilidades residen en el adaptador PostgreSQL para Active Record, que es la clase que se encarga de todo lo referente a conexiones y consultas a la base de datos. Los errores residen en los tipos de consulta ‘bitstring’ (CVE-2014-3482), que afecta a versiones 2.0.0 hasta 3.2.18; y a los tipos ‘range’ (CVE-2014-3483) que afecta a versiones 4.0.0 hasta 4.1.2. Estos problemas podrían permitir a un atacante remoto llevar a cabo inyecciones SQL a través de peticiones especialmente manipuladas. 
 
El equipo de desarrollo de Rails, ha publicado las versiones 3.2.19, 4.0.7 y 4.1.3 para solucionar las vulnerabilidades. Si bien pocas horas después del anuncio han publicado las versiones 4.0.8 y 4.1.4 para corregir un problema de regresión en las versiones 4.0.7 y 4.1.3. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/07/vulnerabilidades-de-inyeccion-sql-en.html#comments
 
Más información:
 
Rails 3.2.19, 4.0.7 and 4.1.3 have been released!
http://weblog.rubyonrails.org/2014/7/2/Rails_3_2_19_4_0_7_and_4_1_3_have_been_released/
 
Rails 4.0.8 and 4.1.4 have been released!
http://weblog.rubyonrails.org/2014/7/2/Rails_4_0_8_and_4_1_4_have_been_released/
 
[CVE-2014-3482] [CVE-2014-3483] Two Active Record SQL Injection Vulnerabilities Affecting PostgreSQL
https://groups.google.com/d/msg/rubyonrails-security/wDxePLJGZdI/WP7EasCJTA4J

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imágenes: 
Foto Imagen Gratis en Internet
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar