Rails 3.2.13: Libera atualização para correção de Falhas em DoS e XSS

Os desenvolvedores do Rails lançaram atualizações para as versões 3.2.13, 3.1.12 e 2.3.18, para corrigir quatro falhas de segurança em seu framework de aplicação web. Eles ainda recomendam que os usuários atualizem o mais rápido possível, para as últimas versões do Rails.

Por | @oficinadanet Programação

Para aqueles impossibilitados de atualizar, patches estão disponíveis com as notificações de erros diversos. Essas falhas afetam todas as versões do Rails, mas alinhado com o Rails e sua política de manutenção, estão apenas três ramos, 3.2, 3.1 e 2.3 estão sendo atualizados.

Foi encontrado que ao executar o Rails no JRuby, um dos backends para análise XML, ActiveSupport::XmlMini_JDOM, javax.xml.parsers.DocumentBuilder, por padrão algumas JVMs permitiam atacantes construir XML com URLs arbitrárias. Além da atualização de segurança, o Rails 3.2.13 contém também outras mudanças, como parte de uma liberação geral de correção de erros.

Finalmente, ao executar Rails no JRuby, verificou-se que um dos backends para análise XML, ActiveSupport::XmlMini_JDOM, usado javax.xml.parsers.DocumentBuilder , que por padrão em algumas JVMs deixar atacantes construir XML com URLs arbitrários, e quando analisado, o sistema inclui o conteúdo desses URLs. A falha, identificada como CVE-2013-1856 , fez com que os arquivos do servidor de aplicativos podem ser extraídas ou que ataques de negação de serviço pode ser encenado.

Fonte: http://www.h-online.com/open/news/item/Rails-updates-to-3-2-13-to-close-denial-of-service-and-XSS-holes-1825605.html

Mais sobre: Programação Ruby Ruby Rails
Share Tweet
Recomendado
Comentários
Carregar comentários
Destaquesver tudo