Vlunerabilità in psych

Community IT
1

Io ho ricevuto un warning precauzionale da heroku, ma magari non tutti
avete roba l :slight_smile:

https://www.ruby-lang.org/en/news/2014/03/29/heap-overflow-in-yaml-uri-escape-parsing-cve-2014-2525/--

twitter: @riffraff
blog (en, it): www.riffraff.info
work: circleme.com

2

A me il tuo link ha restituito Not Found , lo riposto corretto:

https://www.ruby-lang.org/en/news/2014/03/29/heap-overflow-in-yaml-uri-escape-parsing-cve-2014-2525/

Daniele.

2014-04-04 9:02 GMT+02:00 gabriele renzi [email protected]:

3

Appena rilasciata la 1.1.0 di dawn che ha anche il check per quella
vulnerabilit: codesake-dawn | RubyGems.org | your community gem host

On 4 April 2014 10:00, Daniele P. [email protected]
wrote:

avete roba l :slight_smile:

Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml

Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


$ cd /pub
$ more beer

The Application Security blog you really want to read:

4

Mi pare di capire che l’unico modo per coprirsi installare ruby con
libyaml 0.1.6.

Sul sito il download riporta ancora la 0.1.5, mentre il sorgente si
trova
qui:

https://bitbucket.org/xi/libyaml/commits/all

Giusto?

5

No in realt puoi usare psych | RubyGems.org | your community gem host versione 2.0.5
che linkata con una versione safe di libyml

Paolo

On 4 April 2014 14:27, Fabrizio R. [email protected] wrote:

https://www.ruby-lang.org/en/news/2014/03/29/heap-overflow-in-yaml-uri-escape-parsing-cve-2014-2525/--

http://lists.ruby-it.org/mailman/listinfo/ml
$ more beer
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


$ cd /pub
$ more beer

The Application Security blog you really want to read:

6

Su debian testing, se hai installata libyaml, anche installando la gem
psych 2.0.5, viene linkata alla versione 0.1.4 di libyaml.

$ dpkg -l | grep libyaml
ii libyaml-0-2:amd64
0.1.4-3.2
amd64 Fast YAML 1.1 parser and emitter
library
ii libyaml-snake-java 1.12-2
all YAML parser and emitter for the
Java
programming language
$ gem list | grep psy
psych (2.0.5)
$ ruby -v
ruby 1.9.3p545 (2014-02-24 revision 45159) [x86_64-linux]
$ ruby -rpsych -e ‘p Psych.libyaml_version’
[0, 1, 4]

Mentre su ubuntu precise non succede. Piccola differenza su ubuntu ho
rbenv
e in locale rvm. Potrebbe dipendere da quello?

2014-04-04 14:31 GMT+02:00 Paolo P. [email protected]:

7

rvm si installa libyaml in ~/.rvm/usr/lib (io ce l’ho l), rbenv mi
aspetterei di no, ma non saprei dirti se il tuo caso.

(Grazie Daniele per il link fixato, mi ci erano finiti dentro due
trattini
di signature, boh)

2014-04-04 14:42 GMT+02:00 Fabrizio R. [email protected]:

$ gem list | grep psy
2014-04-04 14:31 GMT+02:00 Paolo P. [email protected]:

Sul sito il download riporta ancora la 0.1.5, mentre il sorgente si

https://www.ruby-lang.org/en/news/2014/03/29/heap-overflow-in-yaml-uri-escape-parsing-cve-2014-2525/

work: circleme.com

http://lists.ruby-it.org/mailman/listinfo/ml
$ more beer
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


twitter: @riffraff
blog (en, it): www.riffraff.info
work: circleme.com