Ciao a tutti. E’ stato un inizio dell’inverno molto movimentato per la
parte di application security ed il mondo delle web application in
Ruby.
Il 26 Novembre [1] sono uscite due vulnerabilit: un heap based buffer
overflow sull’interprete Ruby (CVE-2013-4164) ed un XSS sulla gemma
omniauth-facebook (CVE-2013-4562).
Settimana scorsa[2] stato veramente movimentato il gruppo degli
annunci di security di ruby. Ci sono stati un XSS sulla gemma
simple_form, un XSS su Rails a causa della gemma ruby-i18n
(CVE-2013-4491 e CVE-2013-4492), un XSS sull’helper number_to_currency
(CVE-2013-6415), un denial of service su ActionView (CVE-2013-6414),
un XSS sull’helper simple_format (CVE-2013-6416) ed ancora una
vulnerabilit legata all’assegnazione massiva in ActiveRecord che ha
dato tanti problemi ad inizio anno (CVE-2013-6417).
Questa mattina ho rilasciato la versione 0.80 del tool di code review
per ruby codesake-dawn che implementa, tra le altre cose, i controlli
per tutte queste vulnerabilit.
Il codice disponibile su rubygems[3] come sempre.
Enjoy it!
Paolo
[1]
Ruby and omniauth-facebook gem security issues this week | The Armored Code
[2]
Updates from the Ruby security world: 6 new vulnerabilities as X'mas gift | The Armored Code
[3] codesake-dawn | RubyGems.org | your community gem host
$ cd /pub
$ more beer
The Application Security blog you really want to read:
