Ciao a tutti, sono settimane veramente frenetiche queste… lo
shopping natalizio sembra abbia accelerato anche la disclosure di
vulnerabilit nel mondo delle gemme ruby.
Andiamo con ordine:
- ci sono due distinti denial of service per la gemma Nokogiri quando
si usa JRuby
(Redirecting to Google Groups) - ci sono due distinte remote code execution per la gemma sup
(CVE-2013-4478 e CVE-2013-4479) - un denial of service per la gemma ruby-openid (CVE-2013-1812)
- una remote code execution nella gemma sprout (CVE-2013-6421)
Tutti questi 6 controlli sono stati gi aggiunti in codesake-dawn
della quale ho rilasciato una versione 0.85.
Da ieri online anche il sito del progetto (sul quale ci sto ancora
lavorando per aggiungere un po’ di contenuti):
http://dawn.codesake.com
[1] NVD - CVE-2013-4478
[2] NVD - CVE-2013-4479
[3] NVD - CVE-2013-1812
[4] NVD - CVE-2013-6421
[5] codesake-dawn | RubyGems.org | your community gem host
Enjoy It!
Paolo
$ cd /pub
$ more beer
The Application Security blog you really want to read: