Forum: Italian Ruby user group [ANN] Rilasciata la gemma codesake-dawn v 0.80

857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo Perego (Guest)
on 2013-12-12 11:24
(Received via mailing list)
Ciao a tutti. E' stato un inizio dell'inverno molto movimentato per la
parte di application security ed il mondo delle web application in
Ruby.

Il 26 Novembre [1] sono uscite due vulnerabilit: un heap based buffer
overflow sull'interprete Ruby (CVE-2013-4164) ed un XSS sulla gemma
omniauth-facebook (CVE-2013-4562).

Settimana scorsa[2]  stato veramente movimentato il gruppo degli
annunci di security di ruby. Ci sono stati un XSS sulla gemma
simple_form, un XSS su Rails a causa della gemma ruby-i18n
(CVE-2013-4491 e CVE-2013-4492), un XSS sull'helper number_to_currency
(CVE-2013-6415), un denial of service su ActionView (CVE-2013-6414),
un XSS sull'helper simple_format (CVE-2013-6416) ed ancora una
vulnerabilit legata all'assegnazione massiva in ActiveRecord che ha
dato tanti problemi ad inizio anno (CVE-2013-6417).

Questa mattina ho rilasciato la versione 0.80 del tool di code review
per ruby codesake-dawn che implementa, tra le altre cose, i controlli
per tutte queste vulnerabilit.
Il codice  disponibile su rubygems[3] come sempre.

Enjoy it!
Paolo

[1]
http://armoredcode.com/blog/ruby-and-omniauth-face...
[2]
http://armoredcode.com/blog/updates-from-the-ruby-...
[3] https://rubygems.org/gems/codesake-dawn
--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com
321db48bf4bdf48da05e781325aed20a?d=identicon&s=25 Maurizio De magnis (olistik)
on 2013-12-12 11:57
(Received via mailing list)
n1 :-)


2013/12/12 Paolo Perego <thesp0nge@gmail.com>
Please log in before posting. Registration is free and takes only a minute.
Existing account

NEW: Do you have a Google/GoogleMail, Yahoo or Facebook account? No registration required!
Log in with Google account | Log in with Yahoo account | Log in with Facebook account
No account? Register here.