|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "Multiples vulnerabilidades en RubyGems" |
| 4 | +author: "usa" |
| 5 | +translator: "Espartaco Palma" |
| 6 | +date: 2017-08-29 12:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: es |
| 9 | +--- |
| 10 | + |
| 11 | +Existen múltiples vulnerabilidades en la version de RubyGem que incluye Ruby. |
| 12 | +Ha sido [reportado en el blog oficial de Rubygems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html). |
| 13 | + |
| 14 | +## Detalles |
| 15 | + |
| 16 | +Fueron reportadas las siguientes vulnerabilidades: |
| 17 | + |
| 18 | +* una vulnerabilidad de secuestro de peticiones DNS. (CVE-2017-0902) |
| 19 | +* una vulnerabilidad en secuencia de escape ANSI. (CVE-2017-0899) |
| 20 | +* una vulnerabilidad del tipo DoS en el comando *query*. (CVE-2017-0900) |
| 21 | +* una vulnerabilidad en el instalador de gemas, la cual permite |
| 22 | + a una gema maliciosa el sobreescribir archivos arbitrariamente. (CVE-2017-0901) |
| 23 | + |
| 24 | +Se recomienda a los usuarios de Ruby a actualizar o tomar alguna de las |
| 25 | +siguientes opciones tan pronto como sea posible. |
| 26 | + |
| 27 | +## Versiones afectadas |
| 28 | + |
| 29 | +* Ruby 2.2: 2.2.7 y anteriores |
| 30 | +* Ruby 2.3: 2.3.4 y anteriores |
| 31 | +* Ruby 2.4: 2.4.1 y anteriores |
| 32 | +* antes de *trunk* revision 59672 |
| 33 | + |
| 34 | +## Soluciones alternativas |
| 35 | + |
| 36 | +Si no puede actualizar Ruby, actualice RubyGems a la última versión. |
| 37 | +RubyGems 2.6.13 y posteriores incluye la corrección para éstas |
| 38 | +vulnerabilidades. |
| 39 | + |
| 40 | +``` |
| 41 | +gem update --system |
| 42 | +``` |
| 43 | + |
| 44 | +Si no puede actualizar RubyGems, puede aplicar el parche correspondiente |
| 45 | +como una solución alternativa. |
| 46 | + |
| 47 | +* [para Ruby 2.2.7](https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch) |
| 48 | +* [para Ruby 2.3.4](https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch) |
| 49 | +* Para Ruby 2.4.1: se necesitan 2 parches. Aplíquelos secuencialmente: |
| 50 | + 1. [Pasar RubyGems 2.6.11 a 2.6.12](https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch) |
| 51 | + 2. [Pasar RubyGems 2.6.12 a 2.6.13](https://bugs.ruby-lang.org/attachments/download/6693/rubygems-2613-ruby24.patch) |
| 52 | + |
| 53 | +En el caso de trunk, actualice a la última revisión. |
| 54 | + |
| 55 | +## Créditos |
| 56 | + |
| 57 | +Este reporte está basado en [el blog oficial de RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html). |
| 58 | + |
| 59 | +## Historial |
| 60 | + |
| 61 | +* Publicado originalmente: 2017-08-29 12:00:00 UTC |
| 62 | +* Agregado el número CVE: 2017-08-31 2:00:00 UTC |
| 63 | +* Mención de la actualización de Rubies: 2017-09-15 12:00:00 UTC |
0 commit comments