Gli sviluppatori di Ruby on Rails, framework di sviluppo per siti Web, hanno rilasciato lunedì scorso le versioni 3.0.20 e 2.3.16 del software al fine di risolvere una vulnerabilità critica legata all'esecuzione di un codice. Questo è stato il terzo aggiornamento per la protezione rilasciato nel solo mese di gennaio per Ruby on Rails , un software sempre più popolare utilizzato per lo sviluppo di applicazioni Web che sfrutta il linguaggio di programmazione Ruby, usato per costruire siti web come Hulu, Groupon, GitHub, Scribd e altri. Gli sviluppatori Rails, in un post del proprio blog, descrivono gli aggiornamenti rilasciati lunedi come "estremamente critici" e consigliano tutti gli utenti dei software Rails nelle versioni 3.0.x e 2.3.x di eseguire l’aggiornamento immediatamente.
L'utilizzo di framework per la creazione di siti web semplifica moltissimo la vita agli sviluppatori,
ma espone i domini a maggiori rischi di hacking.
Le ultime versioni rilasciate da Rails risolvono una vulnerabilità nel codice JSON Rails (JavaScript Object Notation), che consente agli hacker di aggirare i sistemi di autenticazione, iniettare arbitrario SQL (Structured Query Language) nel database di un'applicazione, introdurre ed eseguire codici arbitrari o effettuare una “denial-of-service” ( DoS) contro un’applicazione. Gli sviluppatori di Rails ha sottolineato che, nonostante il rilascio di questo aggiornamento, la versione Rails 3.0.x non è più ufficialmente supportata. "Si prega di notare che solo le release 2.3.x, 3.1.x e 3.2.x serie sono al momento supportate ", hanno spiegato post emesso. Agli utenti delle versioni di Rails che non sono più supportate è stato consigliato di aggiornare il più presto possibile ad una nuova versione, in quanto la disponibilità degli aggiornamenti di sicurezza per quelle vecchie non può essere garantita. Le versioni Rails 3.1.x e 3.2.x non sono interessate da questa vulnerabilità. Questa ultima falla è identificata come CVE-2013-0333 ed è diversa dalla CVE-2013-0156, un problema riscontrato in SQL injection risolto l'8 gennaio . Gli sviluppatori Rails ha sottolineato che gli utenti delle versioni 2.3 o 3,0 che ha già installato il fix per CVE-2013-0156, devono comunque installare la nuova patch rilasciata questa settimana.