Un fallo “extremadamente crítico” que permitiría a un atacante malintencionado ejecutar código al interior de un servidor, dejaron al descubierto los desarrolladores del entorno de programación (framework) Ruby on Rails este jueves, urgiendo a los usuarios a actualizar sus sistemas.
Según expecificó Ben Murphy, uno de los encargados del sistema, el fallo está presente en todas las versiones de Rails liberadas dentro de los últimos 6 años, en sus configuraciones por defecto, otorgando a un atacante una forma confiable para acceder a una base de datos, ejecutar comandos al interior de un servidor e incluso provocar la caída de un sitio web.
Actualmente, más de 240.000 sitios en todo el mundo utilizan Ruby on Rails, incluyendo sistemas tan conocidos como Github, Hulu y Basecamp.
“Es muy preocupante. Un atacante puede hacer una solicitud a un servidor con Ruby on Rails y ejecutar los comandos que desee. Aunque es un fallo rebuscado, es confiable, por lo que funcionará el 100% de las veces”, confesó Murphy a la publicación especializada Ars Technica.
Peor aún, el programador aseguró que una vez comprometido, el servidor crea un gusano que se abre paso en Internet para detectar otros equipos en su misma condición y vulnerarlos, creando una red de servidores afectados.
Por ello, el equipo de desarrollo del framework urgió a los administradores de sistemas a actualizar a las versiones 3.2.11, 3.1.10, 3.0.19 ó a la 2.3.15, dependiendo de sus distribuciones, en un proceso relativamente simple aunque demoroso, debido a la gran cantidad de tráfico que están teniendo los servidores de la organización debido al mismo problema. Quienes no puedan realizar la mejora, pueden realizar un bloqueo de emergencia deshabilitando XML, YAML o la conversión Symbol, desde el procesador XML de Rails.
