[NEWS] Ruby vulnerabile, upgrade obbligatorio - Hardware Upgrade Forum

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Ruby vulnerabile, upgrade obbligatorio

Segna i forum come letti

	Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per le note, sono le note salienti. Il salto di prezzo rispetto al modello in bianco e nero si fa sentire, anche se la percezione è quella di trovarsi di fronte a un prodotto di fascia altissima, per veri appassionati
	L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il ritmo sempre più serrato a cui vengono trovate vulnerabilità nel software. Un problema significativo, che richiederà del tempo per essere risolto (o quantomeno arginato)
	L'Europa conta nella tecnologia e può essere autonoma. Cosa si è detto al Nextcloud Summit 2026 La parola d'ordine al Nextcloud Summit 2026, che si è tenuto a Monaco, è stata "sovranità". Non come è spesso usato questo termine in politica ma, al contrario, come capacità positiva di decidere il proprio destino tecnologico, con modalità collaborative e aperte. L'Europa dice già molto nel mondo open source, che viene visto come mezzo per ottenere la tanto agognata autonomia digitale

Rocket Lab acquisisce Iridium: nasce un gigante dello Spazio da oltre 8 miliardi di dollari

Una ventola nascosta e un design fuori dagli schemi: ecco le nuove RTX 5080 Aorus Infinity

Display e fotocamera insieme: a Zurigo nasce il Fourier pixel

Lenovo Idea Tab Plus, il tablet per studio e svago con display da 12 pollici e funzioni IA

Un ingegnere di AMD ha riprodotto in casa la Steam Machine...con una GeForce RTX 5060

SanDisk Optimus cresce con nuovi SSD certificati per PlayStation 5 e ROG Xbox Ally

Loongson contro Intel e AMD: dalla Cina arriva 3C3000, CPU economica a 16 core e soli 40W

Australia, quasi tutti gli under-16 aggirano il divieto social. Intanto il governo raddoppia le multe

Oltre 1.300 miliardi di dollari per la produzione di memorie: gli annunci di Samsung ed SK hynix

Un nuovo studio mette in dubbio la natura di Urano e Nettuno: e se non fossero giganti ghiacciati?

Crisi Volkswagen, torna l'ipotesi cessione per Ducati e Lamborghini

Tutti gli articoli

Vai al Forum

Rispondi

26-06-2008, 07:21	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Ruby vulnerabile, upgrade obbligatorio giovedì 26 giugno 2008 Roma - Ruby, linguaggio di programmazione ad oggetti particolarmente utilizzato nella programmazione web, corre ai ripari. Vulnerabilità critiche sono state segnalate per le versioni 1.8.x e 1.9.x, come riportato in un advisory sul portale ufficiale del linguaggio. I tipi di attacco con cui è possibile sfruttare le vulnerabilità vanno dalla negazione di servizio (DoS, Denial of Service)all'esecuzione remota di codice arbitrario. Nello specifico, le versioni coinvolte sono: 1.8.4 e precedenti; 1.8.5-p230 e precedenti; 1.8.6-p229 e precedenti; 1.8.7-p21 e precedenti ed 1.9.0-1 e precedenti. A seconda della versione installata è disponibile una patch per la risoluzione del problema; in realtà si tratta di un semplice upgrade di versione. Gli upgrade risolvono anche la vulnerabilità presente in WEBrick, webserver di Ruby. Come riportato dal blog di Matasano, queste vulnerabilità sono molto pericolose in quanto non prevenibili dal programmatore: "Diversamente dalle eccezioni non gestite, questi bug non sono colpa del programmatore disattento ma sono proprio colpa dell'interprete. Parte del contratto non scritto con l'interprete del tuo linguaggio è che debba prevenire ridicole conseguenze causate dal raise di eccezioni." Le vulnerabilità sono state scoperte da Drew Yao del team di sicurezza di Apple. Tutte le vulnerabilità pubblicate possono essere utilizzate per la corruzione di memoria dell'interprete. Le classi affette sono Array, Stringhe e Bignum: tutte classi fondamentali in Ruby. Come sottolineato ancora da Matasano, le vulnerabilità sfruttano il fatto che i numeri si "sovrappongono" quando superano la dimensione massima allocabile dalla CPU (di solito 32 bit). La possibilità di sovrascrivere aree di memoria nell'interprete Ruby praticamente equivale alla possibilità di caricare linguaggio macchina nativo nell'interprete: ci sono centinaia di locazioni della memoria che, se sovrascritte, ridirezionano il codice in librerie non protette o direttamente in buffer di input, come i contenitori di richieste web. Sul portale ruby-forum.com si sta discutendo delle vulnerabilità e dell'impatto degli upgrade. L'allerta al momento è molto alta soprattutto per i web developer. A tutti gli sviluppatori Ruby è d'obbligo l'upgrade e caldamente consigliato di tenere d'occhio la situazione. Enrico "Fr4nk" Giancipoli Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Rispondi

« Discussione precedente | Discussione successiva »

	Kindle Scribe Colorsoft: riduce le cornici e div...
	L'IA cambia tutte le regole della sicurezza tra ...
	L'Europa conta nella tecnologia e può ess...
	Dreame X60 Pro Ultra Complete: i bracci si esten...
	TCL 65C8L, la recensione del SQD-Mini LED da 440...

	Rocket Lab acquisisce Iridium: nasce un ...
	Una ventola nascosta e un design fuori d...
	Display e fotocamera insieme: a Zurigo n...
	Lenovo Idea Tab Plus, il tablet per stud...
	Un ingegnere di AMD ha riprodotto in cas...
	SanDisk Optimus cresce con nuovi SSD cer...
	Loongson contro Intel e AMD: dalla Cina ...
	Australia, quasi tutti gli under-16 aggi...
	Oltre 1.300 miliardi di dollari per la p...
	Un nuovo studio mette in dubbio la natur...
	Crisi Volkswagen, torna l'ipotesi cessio...
	Il CERN spegne il Large Hadron Collider:...
	Stranger Than Heaven avrà una storia mol...
	Il futuro prezzo di PS6 preoccupa i gioc...
	AMD Ryzen 10000 sempre più vicini...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 00:37.

TCL 65C8L, la recensione del SQD-Mini LED da 4400 nit misurati La tecnologia SQD-Mini LED di TCL arriva sul taglio da 65 pollici con la serie C8L: 2040 zone, pannello WHVA 2.0 e un picco che alle rilevazioni delle sonde tocca...

Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per...

Forza Horizon 6 Recensione: si vola in Giappone! Forza Horizon 6 arriva con la nuova ambientazione in Giappone, il paese più desiderato dalla community fin dal debutto della serie nel 2012. Playground Games ha...

Da oggi mirrorless full-frame Canon EOS R6 V e RF 20-50mm F4 L IS USM PZ, il meglio per i video a mano libera Disponibili da oggi sia una nuova mirrorless full-frame, Canon EOS R6 V, sia l'obiettivo RF 20-50mm F4 L IS USM PZ, il primo RF full-frame serie L con power zoom...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il...

Come rispettare tutte le nuove regole per i monopattini elettrici? La guida per non rischiare sanzioni Sono ormai definitive le nuove norme del Codice della Strada per i monopattini elettrici. Non solo targa e assicurazione, le regole sono tante e riguardano diversi...

Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete implementa due bracci estensibili, per spazzola e moccio, che si spingono ben oltre quanto visto sino ad oggi permettendo una pulizia...

© 1997 - 2018 - Hardware Upgrade S.r.l. P.iva: 02560740124
Hardware Upgrade, testata giornalistica con registrazione tribunale di Varese, n. 879 del 30/07/2005. Iscrizione ROC n. 13366 - Ulteriori informazioni.
Per eventuali segnalazioni, inviare una mail all'indirizzo [email protected]