diff --git a/es/news/_posts/2025-02-10-dos-net-imap-cve-2025-25186.md b/es/news/_posts/2025-02-10-dos-net-imap-cve-2025-25186.md new file mode 100644 index 0000000000..eb51e46abf --- /dev/null +++ b/es/news/_posts/2025-02-10-dos-net-imap-cve-2025-25186.md @@ -0,0 +1,38 @@ +--- +layout: news_post +title: "CVE-2025-25186: vulnerabilidad de dengación de servicio en net-imap" +author: "nevans" +translator: vtamara +date: 2025-02-10 03:00:00 +0000 +tags: security +lang: es +--- + +Hay posibilidad de un ataque de denegación de servicio (DoS) en la +gema net-imap. A esta vulnerabilidad se la ha asignado el identificador +[CVE-2025-25186](https://www.cve.org/CVERecord?id=CVE-2025-25186). +Recomendamos actualizar la gema net-imap. + +## Detalles + +Un servidor malicioso puede enviar un conjunto de datos uid altamente +comprimido que es leído automáticamente por el hilo receptor del cliente. +El analizador de la respuesta usa Range#to_a para convertir el conjunto +de datos uid a un arreglo de enteros, sin limite en el tamaño de los +rangos expandidos. + +Por favor actualizar la gema net-imap a la versión 0.3.8, 0.4.19, 0.5.6 +o posterior. + +## Versiones afectadas + +* Gema net-imap versiones 0.3.2 to 0.3.7, 0.4.0 to 0.4.18, y + 0.5.0 a 0.5.5 (incluida). + +## Créditos + +Gracias a [manun](https://hackerone.com/manun) por descubrir este problema. + +## Historia + +* Publicado originalmente el 2025-02-10 03:00:00 (UTC) diff --git a/es/news/_posts/2025-02-14-ruby-3-4-2-released.md b/es/news/_posts/2025-02-14-ruby-3-4-2-released.md new file mode 100644 index 0000000000..0e0d41714c --- /dev/null +++ b/es/news/_posts/2025-02-14-ruby-3-4-2-released.md @@ -0,0 +1,56 @@ +--- +layout: news_post +title: "Ruby 3.4.2 Publicado" +author: k0kubun +translator: vtamara +date: 2025-02-14 21:55:17 +0000 +lang: es +--- + +Ruby 3.4.2 ha sido publicado + +Esta es una actualización rutinaria que incluye correciones a fallas. +Por favor vea detalles en las +[notas de publicación en GitHub](https://github.com/ruby/ruby/releases/tag/v3_4_2) + +## Calendario de publicaciones + +Queremos publicar la versión de Ruby estable más recieente (acutalmente +Ruby 3.4) cada 2 meses. +Ruby 3.4.3 será publicado en Abril, 3.4.4 en Junio, 3.4.5 en Agosto, +3.4.6 en Octubre, y 3.4.7 en Diciembre. + +Si hay algún cambio que afecte a un número considerabl de personas, +esas versiones sera publicadas más pronto de lo esperado. + +## Descargas + +{% assign release = site.data.releases | where: "version", "3.4.2" | first %} + +* <{{ release.url.gz }}> + + SIZE: {{ release.size.gz }} + SHA1: {{ release.sha1.gz }} + SHA256: {{ release.sha256.gz }} + SHA512: {{ release.sha512.gz }} + +* <{{ release.url.xz }}> + + SIZE: {{ release.size.xz }} + SHA1: {{ release.sha1.xz }} + SHA256: {{ release.sha256.xz }} + SHA512: {{ release.sha512.xz }} + +* <{{ release.url.zip }}> + + SIZE: {{ release.size.zip }} + SHA1: {{ release.sha1.zip }} + SHA256: {{ release.sha256.zip }} + SHA512: {{ release.sha512.zip }} + +## Comentario de la versión + +Muchos contribuidores, desarrolladores y usuarios que proveyeron reportes de +fallas nos ayudaron a producir esta versión. + +Gracias por sus contribuciones. diff --git a/es/news/_posts/2025-02-26-security-advisories.md b/es/news/_posts/2025-02-26-security-advisories.md new file mode 100644 index 0000000000..6371bc0367 --- /dev/null +++ b/es/news/_posts/2025-02-26-security-advisories.md @@ -0,0 +1,102 @@ +--- +layout: news_post +title: "Avisos de seguridad: CVE-2025-27219, CVE-2025-27220 y CVE-2025-27221" +author: "hsbt" +translator: vtamara +date: 2025-02-26 07:00:00 +0000 +tags: security +lang: es +--- + +Publicamos avisos de seguridad para CVE-2025-27219, CVE-2025-27220 y +CVE-2025-27221. Por favor vea detalles a continuación. + +## CVE-2025-27219: Denegación de Servicio en `CGI::Cookie.parse`. + +Hay posibilidad de una DoS por la gema cgi. A esta vulnerabilidad se +le ha asignado el identificador +[CVE-2025-27219](https://www.cve.org/CVERecord?id=CVE-2025-27219). +Recomendamos actualizar la gema cgi. + +### Detalles + +`CGI::Cookie.parse` tomaba tiempo super-lineal para analizar una +cadena con una cookie en algunos casos. +Suministrar una cadena de cookie manipulada a ese método podría +conducir a una Denegación de Servicio. + +Por favor actualice la gema CGI a la versión 0.3.5.1, 0.3.7, 0.4.2 o +posterior. + +### Versiones afectadas + +* Gema cgi versiones <= 0.3.5, 0.3.6, 0.4.0 y 0.4.1. + +### Créditos + +Agradecemos a [lio346](https://hackerone.com/lio346) por descubrir +este problema. También agradecemos a +[mame](https://github.com/mame) por corregirlo. + +## CVE-2025-27220: ReDoS en `CGI::Util#escapeElement`. + +Hay posibilidad de una Denegación de Servicio por Expresión Regular (ReDoS) +por parte de la gema cgi. +A esta vulnerabilidad se le ha asignado el identificador +[CVE-2025-27220](https://www.cve.org/CVERecord?id=CVE-2025-27220). +Recomendamos actualizar la gema cgi. + +### Detalles + +La expresión regular usada en `CGI::Util#escapeElement` es +vulnerable a ReDoS. Una entrada diseñada podría conducir a un alto +consumo de CPU. + +Esta vulnerabilidad sólo afecta a Ruby 3.1 y 3.2. Si usa estas versiones, +por favor actualice la gema CGI a la versión 0.3.5.1, 0.3.7, 0.4.2 o posterior. + +### Versiones afectadas + +* Gema cgi versiones <= 0.3.5, 0.3.6, 0.4.0 y 0.4.1. + +### Créditos + +Gracias a [svalkanov](https://hackerone.com/svalkanov) por descubrir +el problma. También gracias a [nobu](https://github.com/nobu) por +corregir esta vulnerabilidad. + +## CVE-2025-27221: fuga de información del usuario en `URI#join`, +`URI#merge` y `URI#+`. + +Hay posibilidad de que se fugue información con la gema uri. A esta +vulnerabilidad se le ha asignado el identificador +[CVE-2025-27221](https://www.cve.org/CVERecord?id=CVE-2025-27221). +Recomendamos actualizar la gema uri. + +### Detalles + +Los métodos `URI#join`, `URI#merge`, y `URI#+` retienen información +del usuario, tales como `user:password`, incluso aún después de que +la máquina es reemplazada. Cuando genera un URL para una máquina +maliciosa a partir de una URL que contenga información de usuario +secreta usando este método, y teniendo que alguien accede a la URL, +podría ocurrir una fuga de datos no intencionada. + +Por favor actualizar la gema URI a las versiones 0.11.3, 0.12.4, 0.13.2, 1.0.3 +o posterior. + +### Versiones Afectadas + +* Gema uri versions < 0.11.3, 0.12.0 to 0.12.3, 0.13.0, 0.13.1 y + 1.0.0 a 1.0.2. + +### Créditos + +Agradecemos a [Tsubasa Irisawa (lambdasawa)](https://hackerone.com/lambdasawa) +por descubrir este problema. También agradecemos a +[nobu](https://github.com/nobu) por correcciones adicionales +para esta vulnerabilidad. + +## Historia + +* Publicado originalmente el 2025-02-26 7:00:00 (UTC)