Ciao a tutti. E' stato un inizio dell'inverno molto movimentato per la
parte di application security ed il mondo delle web application in
Ruby.

Il 26 Novembre [1] sono uscite due vulnerabilit: un heap based buffer
overflow sull'interprete Ruby (CVE-2013-4164) ed un XSS sulla gemma
omniauth-facebook (CVE-2013-4562).

Settimana scorsa[2]  stato veramente movimentato il gruppo degli
annunci di security di ruby. Ci sono stati un XSS sulla gemma
simple_form, un XSS su Rails a causa della gemma ruby-i18n
(CVE-2013-4491 e CVE-2013-4492), un XSS sull'helper number_to_currency
(CVE-2013-6415), un denial of service su ActionView (CVE-2013-6414),
un XSS sull'helper simple_format (CVE-2013-6416) ed ancora una
vulnerabilit legata all'assegnazione massiva in ActiveRecord che ha
dato tanti problemi ad inizio anno (CVE-2013-6417).

Questa mattina ho rilasciato la versione 0.80 del tool di code review
per ruby codesake-dawn che implementa, tra le altre cose, i controlli
per tutte queste vulnerabilit.
Il codice  disponibile su rubygems[3] come sempre.

Enjoy it!
Paolo

[1]
http://armoredcode.com/blog/ruby-and-omniauth-face...
[2]
http://armoredcode.com/blog/updates-from-the-ruby-...
[3] https://rubygems.org/gems/codesake-dawn
--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com