[ANN] Rilasciata la gemma codesake-dawn v 0.80

Ciao a tutti. E’ stato un inizio dell’inverno molto movimentato per la
parte di application security ed il mondo delle web application in
Ruby.

Il 26 Novembre [1] sono uscite due vulnerabilit: un heap based buffer
overflow sull’interprete Ruby (CVE-2013-4164) ed un XSS sulla gemma
omniauth-facebook (CVE-2013-4562).

Settimana scorsa[2] stato veramente movimentato il gruppo degli
annunci di security di ruby. Ci sono stati un XSS sulla gemma
simple_form, un XSS su Rails a causa della gemma ruby-i18n
(CVE-2013-4491 e CVE-2013-4492), un XSS sull’helper number_to_currency
(CVE-2013-6415), un denial of service su ActionView (CVE-2013-6414),
un XSS sull’helper simple_format (CVE-2013-6416) ed ancora una
vulnerabilit legata all’assegnazione massiva in ActiveRecord che ha
dato tanti problemi ad inizio anno (CVE-2013-6417).

Questa mattina ho rilasciato la versione 0.80 del tool di code review
per ruby codesake-dawn che implementa, tra le altre cose, i controlli
per tutte queste vulnerabilit.
Il codice disponibile su rubygems[3] come sempre.

Enjoy it!
Paolo

[1]
http://armoredcode.com/blog/ruby-and-omniauth-facebook-gem-security-issues-this-week/
[2]
http://armoredcode.com/blog/updates-from-the-ruby-security-world-6-new-vulnerabilities-as-xmas-gift/
[3] https://rubygems.org/gems/codesake-dawn

$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com

n1 :slight_smile:

2013/12/12 Paolo P. [email protected]

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs