Ciao a tutti. E' stato un inizio dell'inverno molto movimentato per la parte di application security ed il mondo delle web application in Ruby. Il 26 Novembre [1] sono uscite due vulnerabilit: un heap based buffer overflow sull'interprete Ruby (CVE-2013-4164) ed un XSS sulla gemma omniauth-facebook (CVE-2013-4562). Settimana scorsa[2] stato veramente movimentato il gruppo degli annunci di security di ruby. Ci sono stati un XSS sulla gemma simple_form, un XSS su Rails a causa della gemma ruby-i18n (CVE-2013-4491 e CVE-2013-4492), un XSS sull'helper number_to_currency (CVE-2013-6415), un denial of service su ActionView (CVE-2013-6414), un XSS sull'helper simple_format (CVE-2013-6416) ed ancora una vulnerabilit legata all'assegnazione massiva in ActiveRecord che ha dato tanti problemi ad inizio anno (CVE-2013-6417). Questa mattina ho rilasciato la versione 0.80 del tool di code review per ruby codesake-dawn che implementa, tra le altre cose, i controlli per tutte queste vulnerabilit. Il codice disponibile su rubygems[3] come sempre. Enjoy it! Paolo [1] http://armoredcode.com/blog/ruby-and-omniauth-face... [2] http://armoredcode.com/blog/updates-from-the-ruby-... [3] https://rubygems.org/gems/codesake-dawn -- $ cd /pub $ more beer The Application Security blog you really want to read: http://armoredcode.com
on 2013-12-12 11:24

on 2013-12-12 11:57

n1 :-) 2013/12/12 Paolo Perego <thesp0nge@gmail.com>