[Ror-es] Actualización crítica: Rails 1.1.5
Jaime Agudo
jaime.ag at gmail.com
Thu Aug 10 11:49:52 GMT 2006
Las versiones que no están afectadas son la 1.0 o anteriores, todas
las 1.1.x excepto la 1.1.3 sí lo están. Lo digo porque creo que algún
mensaje anterior es algo confuso.
UPDATE 4: This problem does not affect Rails 1.0 or earlier. The only
versions affected are 1.1.0, 1.1.1, 1.1.2, and 1.1.4.
En este post van actualizando la información sobre el problema más al detalle.
http://weblog.rubyonrails.org/2006/8/10/security-update-rails-1-0-not-affected
Por otro lado, entiendo que el "exploit" lo mantengan en secreto para
evitar que se extienda el hackeo mientras lo resuelven, pero deberían
poner algo más de información para que podamos evaluar las
consecuencias nosotros mismos, que todos somos mayorcitos.
Esta alerta tan salvaje asusta más que otra cosa, aunque si lo que
quieren es que todos tengamos la última versión lo van a conseguir.
Menos mal que gracias al enlace aportado por Sergio Gil tenemos más
datos, aunque no me esperaba ese fallo en Rails, es muy de
principiante.
--Jaime
On 8/10/06, Sergio Gil Pérez de la Manga <sgilperez at gmail.com> wrote:
> 2006/8/10, Sergio Gil Pérez de la Manga <sgilperez at gmail.com>:
> > Parece que se va haciendo la luz y que alguien, ¡oh, milagro!, se ha
> > leido el diff (además con bastante recochineo, jeje: "with the elite
> > hacking tool diff -r").
> >
> > Según parece, por un fallo en validación de las rutas, es posible
> > ejecutar código Ruby que esté fuera del directorio de la aplicación.
>
> Si no me olvido del enlace, ya lo bordo:
>
> http://blog.evanweaver.com/articles/2006/08/10/explanation-of-the-rails-security-vulnerability-in-1-1-4-others
>
> --
> Sergio Gil Pérez de la Manga <sgilperez at gmail.com>
> _______________________________________________
> Ror-es mailing list
> Ror-es at lists.simplelogica.net
> http://lists.simplelogica.net/mailman/listinfo/ror-es
>
More information about the Ror-es
mailing list