- Otras noticias
.jpg)
Graves vulnerabilidades en Skype
Graves problemas en el algoritmo que genera los números aleatorios en Debian
Un nuevo phishing bancario afecta a los clientes de La Caixa
Un nuevo troyano se propaga por la red social Orkut
Vulnerabilidades en varios módulos para Mambo CMS
Múltiples vulnerabilidades en Kerio WinRoute Firewall
Cuba crea un antivirus para proteger las redes del gobierno
Una web de seguridad pone a disposición de los internautas una herramienta generadora de claves seguras
Un nuevo tipo de spam con archivos MP3 adjuntos invade la red
Microsoft alerta sobre 5 nuevos fallos de seguridad en software
- En el foro
-
lenguajes de programación
La última versión de Ruby corrige múltiples fallos de seguridad
13 Ago 2008 | HISPASEC.COM
Ruby es un lenguaje de programación interpretado y reflexivo que combina una sintaxis inspirada en Python y Perl con características de programación orientada a objetos similares a Smalltalk. Ruby interpreta el código en una sola pasada y su implementación oficial es distribuida bajo una licencia de software libre.
Los problemas de seguridad corregidos en la última versión son los siguientes:
* La primera vulnerabilidad consiste en varios errores al implementar ciertas restricciones correspondientes a los de niveles de seguridad. Esto podría ser aprovechado para llamar a la función untrace_var, realizar operaciones con los logs del sistema o modificar "$PROGRAM_NAME" desde el nivel de seguridad 4; O para llamar a otras funciones no seguras desde los niveles 1, 2 y 3.
* La segunda vulnerabilidad está causada por un error en la función WEBrick::HTTPUtils.split_header_value al usar expresiones regulares. Un atacante remoto podría provocar un consumo excesivo de recursos de la CPU mediante una petición HTTP especialmente manipulada, causando una denegación se servicio.
* Existe un error en DL (librería para Ruby que provee un interfaz para dynamic linker) que podría ser aprovechado por un atacante remoto para saltarse restricciones de seguridad y llamar a funciones potencialmente peligrosas.
* La cuarta vulnerabilidad está causada porque resolv.rb no aplica suficiente entropía a la hora de elegir los números de puerto usados en consultas DNS, lo que podría ser aprovechado por un atacante remoto para envenenar la caché DNS. El parche se encarga de implementar una de las contramedidas recomendadas para el problema descubierto por Kaminsky, añadiendo mayor aleatoriedad a la elección de los puertos para hacer mas difícil un posible ataque.
Todas las vulnerabilidades están confirmadas para las versiones 1.8.5, 1.8.6-p286,1.8.7-p71, 1.9 r18423 y para las versiones anteriores.
Se recomienda actualizar a las siguientes versiones no vulnerables:
Para la rama 1.8.6 actualizar a la versión 1.8.6-p287, disponible desde:
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p287.tar.gzPara la rama 1.8.7 actualizar a la versión 1.8.7-p72, disponible desde:
Para la rama 1.9 la última revisión está disponible a través del repositorio SVN.
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p72.tar.gz
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
