Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Rails 3.2.13, 3.1.12 e 2.3.18: aggiornamenti di sicurezza

Link copiato negli appunti

A poco più di un mese dal rilascio dei precedenti aggiornamenti, gli sviluppatori del progetto hanno reso disponibili Rails 3.2.13, 3.1.12 e 2.3.18; anche in questo caso le nuove release si sono rese necessarie per la correzione di alcune problematiche legate alla sicurezza, si consiglia quindi di procedere quanto prima ad un upgrade dei propri ambienti di produzione.

Per quanto riguarda le vulnerabilità  individuate, prese singolarmente esse riguardano una o più release precedenti a quelle ora disponibili; nello specifico dovrebbero essere stati risolti:

  • un problema presente nell'Active Record legato ad una vulnerabilità  Symbol DoS con conversione tramite richiesta di hash in simboli;
  • una vulnerabilità  XSS (Cross-site scripting) a carico del metodo sanitize_css dell'Action Pack che avrebbe potuto consentire di bypassare i processi di validazione;
  • una vulnerabilità  che coinvolgeva il parsing XML nell'utilizzo di JRuby e in particolare del backend JDOM, essa avrebbe potuto portare ad attacchi di tipo Denial of Service o ad accessi non autorizzati a file allocati nell'application server;
  • un ulteriore pericolo di attacchi basati su XSS a carico del sanitize helper di Ruby on Rails, quest'ultimo è stato introdotto per filtrare il markup e rimuovere tag e attributi potenzialmente dannosi, ma alcune carenze in sede di validazione avrebbero potuto portare a violazioni basate sull'embedding di tag contenenti URL per l'esecuzione arbitraria di codice JavaScript.

àˆ da segnalare che, nonostante l'individuazione di almeno una delle vulnerabilità  elencate in tutte le versioni di Rails, date le policy di supporto previste per la manutenzione del progetto soltanto le release 3.2.xx, 3.1.xx e 2.3.xx godranno di un aggiornamento rilasciato ufficialmente.

Via Rubyonrails.org

Ti consigliamo anche