Multiples vulnerabilidades de jQuery en RDoc
Publicado por aycabta el 2019-08-28
Traducción de vtamara
Hay multiples vulnerabilidades tipo Cross-Site Scripting (XSS) en el jQuery incluido con RDoc que es empaquetado en Ruby. A todos los usuarios de Ruby se les recomienda actualizar Ruby a la versión más reciente que incluye la versión reparada de RDoc.
Detalles
Se han reportado las siguientes vulnerabilidades.
Se recomienda de manera especial a todos los usuarios de Ruby actualizar la instalación de Ruby o emplear tan pronto sea posible una de las soluciones alternas descritas más adelante. También debe regenerar la documentación RDoc existente para mitigar completamente las vulnerabilidades.
Versiones afectadas
- Series de Ruby 2.3: todas
- Series de Ruby 2.4: 2.4.6 y anteriores
- Series de Ruby 2.5: 2.5.5 y anteriores
- Series de Ruby 2.6: 2.6.3 y anteriores
- lo anterior a la contribución en master f308ab2131ee675000926540cbb8c13c91dc3be5
Acciones requeridas
RDoc es una herramienta para generación de documentación estática. Reparar la herramienta misma no es suficiente para mitigar estas vulnerabilidades.
Así que, documentación RDoc generada con versiones previas deben ser regeneradas con un RDoc reciente.
Soluciones alternas
En principio debe actualizar su instalación de Ruby a la versión más reciente. RDoc 6.1.2 o posteriores incluye solución a las vulnerabilidades, así que actualice RDoc a la versión más reciente si no puede actualizar Ruby mismo.
Note que como se mencionó antes, debe volver a generar la documentación RDoc.
gem install rdoc -f
Actualización: La versión inicial de esta publicación, mencionaba parcialmente rdoc-6.1.1.gem, que también era vulnerable. Asegurese de instalara rdoc-6.1.2 o posterior.
Respecto a la versión de desarrollo, actualiza al HEAD más reciente de la rama master.
Creditos
Agradecimientos a Chris Seaton por reportar el problema.
Historia
- Publicado originalmente el 2019-08-28 09:00:00 UTC
- Versión RDoc arreglada el 2019-08-28 11:50:00 UTC
- Mejoras menores al idioma el 2019-08-28 12:30:00 UTC
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23