SoftwareLibre.Net

El equipo de desarrollo de Ruby on Rails ha anunciado la disponibilidad de una nueva versión, la 1.1.5, que corrige un serio problema de seguridad de sus antecesoras (0.13, 0.14, 1.0 y 1.1.x).

Según el anuncio, se trata de una actualización obligatoria y que debe llevarse a cabo cuanto antes. Aquellos que estuviesen usando la 1.1.4 no deberían tener problemas, ya que la 1.1.5 no introduce incompatibilidades. Sin embargo, los que estuviesen usando versiones más antiguas puede que se encuentren con alguna sorpresa desagradable.

En cualquier caso, si alguien tiene un sitio de importancia con Rails y le es imposible actualizar, debe ponerse en contacto con el equipo de desarrollo a fin de buscar una solución.

En cuanto a los detalles del problema, han decidido esperar un tiempo prudencial antes de desvelarlos, con el fin de que a la gente le dé tiempo de actualizar sus sistemas.

Actualización (10/08/2006): en contra de lo que se había anunciado, las versiones 1.0 y anteriores y la 1.1.3 no están afectadas.

Actualización (10/08/2006): Rails 1.1.5 sigue siendo vulnerable. El problema parece estar en route.rb. Se espera la versión 1.1.6 en breve.

Actualización (11/08/2006): Parece que, finalmente, la pesadilla ha terminado. Heinemeier ha anunciado la versión 1.1.6 y a desvelado que el problema era la ejecución de código arbitrario debido a un fallo en el código de las rutas. Además, hay parches para las versiones 1.1.0, 1.1.1, 1.1.2 y 1.1.4. Además, como resultado de lo ocurrido estos días, se ha creado una lista dedicada a la seguridad y se está preparando un nuevo servidor Trac (por temas de carga).