Falha Grave No Ruby On Rails

[lucast]

Olá senhores,

 

No começo de janeiro foram divulgadas duas falhas no Ruby on Rails, sendo lançados patches quases instântaneos para correção dessas. Como muitos de vocês oferecem Ruby e praticamente toda aplicação nessa linguagem de programação utiliza Ruby on Rails, achei conveniente abrir este tópico.

 

As falhas permitem que o atacante execute qualquer tipo de código, como por exemplo um shell remoto ou qualquer outra coisa que se possa imaginar, bastando apenas que a aplicação utilize RoR, deixando o servidor severamente comprometido.

 

Aconselho fortemente que seus clientes instalem as atualizações, pois já possuem exploits divulgados.

 

Vulnerabilidades:

CVE-2013-0156

CVE-2013-0333

 

Anúncios do RoR:

https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ

https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo

 

Blog explicando bem detalhado o impacto:

http://www.kalzumeus.com/2013/01/31/what-the-rails-security-issue-means-for-your-startup/