ruby · vtamara · Mar 4, 2025 · Mar 4, 2025
@@ -0,0 +1,38 @@
+---
+layout: news_post
+title: "CVE-2025-25186: vulnerabilidad de dengación de servicio en net-imap"
+author: "nevans"
+translator: vtamara
+date: 2025-02-10 03:00:00 +0000
+tags: security
+lang: es
+---
+
+Hay posibilidad de un ataque de denegación de servicio (DoS) en la
+gema net-imap.  A esta vulnerabilidad se la ha asignado el identificador
+[CVE-2025-25186](https://www.cve.org/CVERecord?id=CVE-2025-25186).
+Recomendamos actualizar la gema net-imap.
+
+## Detalles
+
+Un servidor malicioso puede enviar un conjunto de datos uid altamente
+comprimido que es leído automáticamente por el hilo receptor del cliente.
+El analizador de la respuesta usa Range#to_a para convertir el conjunto
+de datos uid a un arreglo de enteros, sin limite en el tamaño de los
+rangos expandidos.
+
+Por favor actualizar la gema net-imap a la versión 0.3.8, 0.4.19, 0.5.6
+o posterior.
+
+## Versiones afectadas
+
+* Gema net-imap versiones 0.3.2 to 0.3.7, 0.4.0 to 0.4.18, y
+  0.5.0 a 0.5.5 (incluida).
+
+## Créditos
+
+Gracias a [manun](https://hackerone.com/manun) por descubrir este problema.
+
+## Historia
+
+* Publicado originalmente el 2025-02-10 03:00:00 (UTC)
@@ -0,0 +1,56 @@
+---
+layout: news_post
+title: "Ruby 3.4.2 Publicado"
+author: k0kubun
+translator: vtamara
+date: 2025-02-14 21:55:17 +0000
+lang: es
+---
+
+Ruby 3.4.2 ha sido publicado
+
+Esta es una actualización rutinaria que incluye correciones a fallas.
+Por favor vea detalles en las
+[notas de publicación en GitHub](https://github.com/ruby/ruby/releases/tag/v3_4_2)
+
+## Calendario de publicaciones
+
+Queremos publicar la versión de Ruby estable más recieente (acutalmente
+Ruby 3.4) cada 2 meses.
+Ruby 3.4.3 será publicado en Abril, 3.4.4 en Junio, 3.4.5 en Agosto,
+3.4.6 en Octubre, y 3.4.7 en Diciembre.
+
+Si hay algún cambio que afecte a un número considerabl de personas,
+esas versiones sera publicadas más pronto de lo esperado.
+
+## Descargas
+
+{% assign release = site.data.releases | where: "version", "3.4.2" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Comentario de la versión
+
+Muchos contribuidores, desarrolladores y usuarios que proveyeron reportes de
+fallas nos ayudaron a producir esta versión.
+
+Gracias por sus contribuciones.
@@ -0,0 +1,102 @@
+---
+layout: news_post
+title: "Avisos de seguridad: CVE-2025-27219, CVE-2025-27220 y CVE-2025-27221"
+author: "hsbt"
+translator: vtamara
+date: 2025-02-26 07:00:00 +0000
+tags: security
+lang: es
+---
+
+Publicamos avisos de seguridad para CVE-2025-27219, CVE-2025-27220 y
+CVE-2025-27221. Por favor vea detalles a continuación.
+
+## CVE-2025-27219: Denegación de Servicio en `CGI::Cookie.parse`.
+
+Hay posibilidad de una DoS por la gema cgi.  A esta vulnerabilidad se
+le ha asignado el identificador
+[CVE-2025-27219](https://www.cve.org/CVERecord?id=CVE-2025-27219).
+Recomendamos actualizar la gema cgi.
+
+### Detalles
+
+`CGI::Cookie.parse` tomaba tiempo super-lineal para analizar una
+cadena con una cookie en algunos casos.
+Suministrar una cadena de cookie manipulada a ese método podría
+conducir a una Denegación de Servicio.
+
+Por favor actualice la gema CGI a la versión 0.3.5.1, 0.3.7, 0.4.2 o
+posterior.
+
+### Versiones afectadas
+
+* Gema cgi versiones <= 0.3.5, 0.3.6, 0.4.0 y 0.4.1.
+
+### Créditos
+
+Agradecemos a [lio346](https://hackerone.com/lio346) por descubrir
+este problema. También agradecemos a
+[mame](https://github.com/mame) por corregirlo.
+
+## CVE-2025-27220: ReDoS en `CGI::Util#escapeElement`.
+
+Hay posibilidad de una Denegación de Servicio por Expresión Regular (ReDoS)
+por parte de la gema cgi.
+A esta vulnerabilidad se le ha asignado el identificador
+[CVE-2025-27220](https://www.cve.org/CVERecord?id=CVE-2025-27220).
+Recomendamos actualizar la gema cgi.
+
+### Detalles
+
+La expresión regular usada en `CGI::Util#escapeElement` es
+vulnerable a ReDoS. Una entrada diseñada podría conducir a un alto
+consumo de CPU.
+
+Esta vulnerabilidad sólo afecta a Ruby 3.1 y 3.2. Si usa estas versiones,
+por favor actualice la gema CGI a la versión 0.3.5.1, 0.3.7, 0.4.2 o posterior.
+
+### Versiones afectadas
+
+* Gema cgi versiones <= 0.3.5, 0.3.6, 0.4.0 y 0.4.1.
+
+### Créditos
+
+Gracias a [svalkanov](https://hackerone.com/svalkanov) por descubrir
+el problma. También gracias a [nobu](https://github.com/nobu) por
+corregir esta vulnerabilidad.
+
+## CVE-2025-27221: fuga de información del usuario en `URI#join`,
+`URI#merge` y `URI#+`.
+
+Hay posibilidad de que se fugue información con la gema uri.  A esta
+vulnerabilidad se le ha asignado el identificador
+[CVE-2025-27221](https://www.cve.org/CVERecord?id=CVE-2025-27221).
+Recomendamos actualizar la gema uri.
+
+### Detalles
+
+Los métodos `URI#join`, `URI#merge`, y `URI#+` retienen información
+del usuario, tales como `user:password`, incluso aún después de que
+la máquina es reemplazada.  Cuando genera un URL para una máquina
+maliciosa a partir de una URL que contenga información de usuario
+secreta usando este método, y teniendo que alguien accede a la URL,
+podría ocurrir una fuga de datos no intencionada.
+
+Por favor actualizar la gema URI a las versiones 0.11.3, 0.12.4, 0.13.2, 1.0.3
+o posterior.
+
+### Versiones Afectadas
+
+* Gema uri versions < 0.11.3, 0.12.0 to 0.12.3, 0.13.0, 0.13.1 y
+  1.0.0 a 1.0.2.
+
+### Créditos
+
+Agradecemos a [Tsubasa Irisawa (lambdasawa)](https://hackerone.com/lambdasawa)
+por descubrir este problema. También agradecemos a
+[nobu](https://github.com/nobu) por correcciones adicionales
+para esta vulnerabilidad.
+
+## Historia
+
+* Publicado originalmente el 2025-02-26 7:00:00 (UTC)