Global Preloader
Vulnerabilidad
(20/Feb/2018) Corregidas múltiples vulnerabilidades en RubyGems

Corregidas múltiples vulnerabilidades en RubyGems

RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y auto contenido llamado gem para poder distribuir programas o bibliotecas en Ruby.

Rubygems, ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que afectaban.

Las vulnerabilidades corregidas han sido las siguientes:

  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podría facilitar ataques XSS.

Se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:

gem update --system