Forum: Italian Ruby user group Vulnerabilità Ruby 1.9 e 2.0

7de465f222e6a9c7fe658e370d0bfe05?d=identicon&s=25 Paolo Montrasio (pmontrasio)
on 2013-11-23 11:19
https://www.ruby-lang.org/en/news/2013/11/22/heap-...

"Any time a string is converted to a floating point value, a specially
crafted string can cause a heap overflow. This can lead to a denial of
service attack via segmentation faults and possibly arbitrary code
execution. Any program that converts input of unknown origin to floating
point values (especially common when accepting JSON) are vulnerable."

La soluzione è

rvm upgrade ruby-1.9.3-pxxx ruby-1.9.3-p484
rvm upgrade ruby-2.0.0-pxxx ruby-2.0.0-p353

Tutte le 1.8 sono e restano vulnerabili.
Ah, c'è la 2.1 in preview, da aggiornare pure quella :-)

Paolo
857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo Perego (Guest)
on 2013-11-26 11:57
(Received via mailing list)
Ciao Paolo, grazie per la segnalazione di questa e di omniauth-facebook.
Integro dicendo che a met ottobre anche la gemma cocaine  stata
aggiornata per delle security issue: una remote code execution.

Ho scritto di tutte e tre le vulnerabilit sul mio blog:
http://armoredcode.com/blog/ruby-and-omniauth-face...

codesake-dawn [1]  gi in grado di eseguire i check per la issue di
relativa alla vulnerabilit di ruby, quella di omniauth-facebook e
quella di cocaine (non ho rilasciato una nuova versione della gemma,
solo messo nel repo i test)


[1]https://github.com/codesake/codesake-dawn

Qualcuno ha voglia di provare dawn assiema a brakeman e dirmi che ne
pensa?
Paolo

On 23 November 2013 11:19, Paolo Montrasio <paolo@paolomontrasio.com>
wrote:
> rvm upgrade ruby-1.9.3-pxxx ruby-1.9.3-p484
> Ml mailing list
> Ml@lists.ruby-it.org
> http://lists.ruby-it.org/mailman/listinfo/ml



--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com
857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo Perego (Guest)
on 2013-11-26 12:52
(Received via mailing list)
Ciao Paolo, grazie per la segnalazione di questa e di omniauth-facebook.
Integro dicendo che a met ottobre anche la gemma cocaine  stata
aggiornata per delle security issue: una remote code execution.

Ho scritto di tutte e tre le vulnerabilit sul mio blog:
http://armoredcode.com/blog/ruby-and-omniauth-face...

codesake-dawn [1]  gi in grado di eseguire i check per la issue di
relativa alla vulnerabilit di ruby, quella di omniauth-facebook e
quella di cocaine (non ho rilasciato una nuova versione della gemma,
solo messo nel repo i test)


[1]https://github.com/codesake/codesake-dawn

Paolo

On 23 November 2013 11:19, Paolo Montrasio <paolo@paolomontrasio.com>
wrote:
> rvm upgrade ruby-1.9.3-pxxx ruby-1.9.3-p484
> Ml mailing list
> Ml@lists.ruby-it.org
> http://lists.ruby-it.org/mailman/listinfo/ml



--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com
Please log in before posting. Registration is free and takes only a minute.
Existing account

NEW: Do you have a Google/GoogleMail, Yahoo or Facebook account? No registration required!
Log in with Google account | Log in with Yahoo account | Log in with Facebook account
No account? Register here.