Vulnerabilidades de inyección SQL en Ruby on Rails
Ruby on Rails, también conocido como RoR o Rails, es un framework de aplicaciones web de código abierto escrito en Ruby que sigue el paradigma de la arquitectura Modelo-Vista-Controlador (MVC).
Las vulnerabilidades residen en el adaptador PostgreSQL para Active Record, que es la clase que se encarga de todo lo referente a conexiones y consultas a la base de datos. Los errores residen en los tipos de consulta 'bitstring' (CVE-2014-3482), que afecta a versiones 2.0.0 hasta 3.2.18; y a los tipos 'range' (CVE-2014-3483) que afecta a versiones 4.0.0 hasta 4.1.2. Estos problemas podrían permitir a un atacante remoto llevar a cabo inyecciones SQL a través de peticiones especialmente manipuladas.
El equipo de desarrollo de Rails, ha publicado las versiones 3.2.19, 4.0.7 y 4.1.3 para solucionar las vulnerabilidades. Si bien pocas horas después del anuncio han publicado las versiones 4.0.8 y 4.1.4 para corregir un problema de regresión en las versiones 4.0.7 y 4.1.3.
Fuente: Hispasec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!