“Any time a string is converted to a floating point value, a specially
crafted string can cause a heap overflow. This can lead to a denial of
service attack via segmentation faults and possibly arbitrary code
execution. Any program that converts input of unknown origin to floating
point values (especially common when accepting JSON) are vulnerable.”
Ciao Paolo, grazie per la segnalazione di questa e di omniauth-facebook.
Integro dicendo che a met ottobre anche la gemma cocaine stata
aggiornata per delle security issue: una remote code execution.
Ho scritto di tutte e tre le vulnerabilit sul mio blog:
codesake-dawn [1] gi in grado di eseguire i check per la issue di
relativa alla vulnerabilit di ruby, quella di omniauth-facebook e
quella di cocaine (non ho rilasciato una nuova versione della gemma,
solo messo nel repo i test)
Ciao Paolo, grazie per la segnalazione di questa e di omniauth-facebook.
Integro dicendo che a met ottobre anche la gemma cocaine stata
aggiornata per delle security issue: una remote code execution.
Ho scritto di tutte e tre le vulnerabilit sul mio blog:
codesake-dawn [1] gi in grado di eseguire i check per la issue di
relativa alla vulnerabilit di ruby, quella di omniauth-facebook e
quella di cocaine (non ho rilasciato una nuova versione della gemma,
solo messo nel repo i test)
