Cabecera-v2-web.jpg

Corregidas múltiples vulnerabilidades en RubyGems


Rubygems, el popular gestor de paquetes para Ruby, se ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que le afectaban.

rubygems.png

RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y autocontenido (llamado gem) para poder distribuir programas o bibliotecas en Ruby, una herramienta destinada a gestionar la instalación de éstos, y un servidor para su distribución.

Aunque no se ha facilitado mayor información, las vulnerabilidades corregidas han sido las siguientes:

  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podrí­a facilitar ataques XSS.

Las vulnerabilidades fueron descubiertas por nmalkin, plover, Yasin Soliman y se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:


gem update --system


Más información:

RubyGems 2.7.6 includes security fixes:

http://blog.rubygems.org/2018/02/15/2.7.6-released...


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11