El ArCERT envió generó una alerta de seguridad en rails. espero que les sea útil.
saludos ---------- Mensaje reenviado ---------- De: InfoMail de ArCERT <[email protected]> Fecha: 2 de diciembre de 2009 19:49 Asunto: [seguridad] Alerta de Seguridad ArCERT2009120201 - Ruby on Rails: Cross-Site Scripting (XSS) Para: Lista de Seguridad <[email protected]> Alerta de Seguridad ArCERT2009120201 Ruby on Rails: Cross-Site Scripting (XSS) Se ha reportado una vulnerabilidad Ruby on Rails que podría ser aprovechada por usuarios maliciosos para realizar ataques de Cross-Site Scripting (XSS). Versiones Afectadas Se ven afectadas por esta vulnerabilidad las siguientes versiones: Ruby on Rails 2.3.x Detalle La función "strip_tags" no elimina correctamente etiquetas HTML que comienzan con caracteres no imprimibles. Esto podría ser aprovechado por usuarios maliciosos para ejecutar código HTML y Javascript arbitrarios en el navegador de un usuario. Impacto El impacto de esta vulnerabilidad es MODERADO Recomendaciones Ruby on Rails versión 2.3.5 corrige este problema. Referencias Más información sobre esta Alerta: Ruby on Rails: http://groups.google.com/group/rubyonrails-security/browse_thread/thread/4d4f71f2aef4c0ab http://weblog.rubyonrails.org/2009/11/30/ruby-on-rails-2-3-5-released Secunia: http://secunia.com/advisories/37446 Si Ud. no desea recibir más información de esta lista por favor envíe un mensaje a: [email protected] -- Rafael Bidegain Ya que los cuerdos no hablan, hablará el loco. (The Fool, Padraic Pearse) # divertite programando # http://rubytutorial.wikidot.com/introduccion _______________________________________________ Ruby mailing list [email protected] http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar
