layout: news_post

title: "Heap Overflow nel Parsing di numeri in Virgola Mobile (CVE-2013-4164)"

author: "tenderlove"

translator: "alepore"

date: 2013-11-22 5:00:00 UTC

lang: it

Esiste un problema di overflow sul parsing dei numeri in virgola mobile in Ruby.

A questa vulnerabilità è stato assegnato l'identificativo CVE-2013-4164.

Dettagli

Ogni volta che una stringa è convertita in un valore a virgola mobile, una

stringa costruita ad hoc può causare un heap overflow. Questo può fare strada

ad un attacco di tipo denial of service tramite segmentation faults ed eventuale

esecuzione arbitraria di codice. Qualsiasi programma che converte input di

provenienza sconosciuta in valori a virgola mobile (procedura comune

specialmente accettando JSON) è vulnerabile.

Del codice vulnerabile si presenta in questo modo:

untrusted_data.to_f

Ma qualsiasi codice che produce valori in virgola mobile da dati esterni è

vulnerabile, come questo:

JSON.parse untrusted_data

Da notare che questo bug è simile a CVE-2009-0689.

Tutti gli utenti che utilizzano una versione affetta dovrebbero aggiornare alle

versioni corrette di Ruby.

Versioni affette

* Tutte le versioni 1.8 di Ruby

* Tutte le versioni 1.9 di Ruby precedenti a Ruby 1.9.3 patchlevel 484

* Tutte le versioni 2.0 di Ruby precedenti a Ruby 2.0.0 patchlevel 353

* Tutte le versioni 2.1 di Ruby precedenti a Ruby 2.1.0 preview2

* prima di trunk revision 43780

Soluzioni

È consigliato a tutti gli utenti l'aggiornamento a Ruby 1.9.3 patchlevel 484,

Ruby 2.0.0 patchlevel 353 o Ruby 2.1.0 preview2.

Si noti che le serie 1.8 di Ruby o qualsiasi versione precedente sono già

obsolete. Non ci sono piani di rilasciare versioni corrette per queste. Agli

utenti di queste versioni è consigliato l'aggiornamento il prima possibile in

quanto non possiamo garantire la disponibilità continua di aggiornamenti di

sicurezza per le versioni non più supportate.

Ringraziamenti

Grazie a Charlie Somerville per aver segnalato il problema!

Storia

* Pubblicazione originale del 2013-11-22 04:00:00(UTC)

* Seconda pubblicazione del 2013-11-22 06:46:00(UTC)

* Terza pubblicazione del 2013-11-22 22:46:00(UTC)

layout: news_post

title: "È stato rilasciato Ruby 1.9.3-p484"

author: "usa"

translator: "alepore"

date: 2013-11-22 04:00:00 UTC

lang: it

È stato rilasciato ora Ruby 1.9.3-p484.

Questa release include un security fix relativo al core dell'interprete Ruby:

* [Heap Overflow nel Parsing di numeri in Virgola Mobile (CVE-2013-4164)](/it/news/2013/11/22/heap-overflow-nel-parsing-di-numeri-in-virgola-mobile-cve-2013-4164/)

Sono inoltre inclusi alcuni bugfixes.

Per maggiori dettagli vedere [i ticket](https://bugs.ruby-lang.org/projects/ruby-193/issues?set_filter=1&status_id=5)

e [il ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v1_9_3_484/ChangeLog).

* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.bz2](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.bz2)

SIZE: 10041514 bytes

MD5: 03f5b08804927ceabe5122cb90f5d0a9

SHA256: 0fdc6e860d0023ba7b94c7a0cf1f7d32908b65b526246de9dfd5bb39d0d7922b

* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.gz](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.gz)

SIZE: 12576996 bytes

MD5: 8ac0dee72fe12d75c8b2d0ef5d0c2968

SHA256: d684bc3a5ba72cda9ef30039f783c0f8cdc325bae5c8738c7bf05577cbe8f31d

* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.zip](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.zip)

SIZE: 13958042 bytes

MD5: 1b74a8a3b1e8f13bb306dd59cc1e12d1

SHA256: 7496c972c716f0bc9f9c718155ef36281e9f22375867e95abc2ba64c1fb09d2e

Tante persone hanno contribuito e mi hanno aiutato a fare questa release.

Grazie!

layout: news_post

title: "È stato rilasciato Ruby 2.0.0-p353"

author: "nagachika"

translator: "alepore"

date: 2013-11-22 03:00:00 UTC

lang: it

È stato rilasciato ora Ruby 2.0.0-p353.

Questa release include un security fix relativo al parsing dei numeri in virgola

mobile.

* [Heap Overflow nel Parsing di numeri in Virgola Mobile

(CVE-2013-4164)](/it/news/2013/11/22/heap-overflow-nel-parsing-di-numeri-in-virgola-mobile-cve-2013-4164/)

Sono inoltre inclusi alcuni bugfixes.

Per maggiori dettagli vedere [i ticket](https://bugs.ruby-lang.org/projects/ruby-200/issues?set_filter=1&status_id=5)

e [il ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_0_0_353/ChangeLog).

Potete scaricare questa release da:

* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.bz2)

SIZE: 10730412 bytes

MD5: 20eb8f067d20f6b76b7e16cce2a85a55

SHA256: 3de4e4d9aff4682fa4f8ed2b70bd0d746fae17452fc3d3a8e8f505ead9105ad9

* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.gz)

SIZE: 13572794 bytes

MD5: 78282433fb697dd3613613ff55d734c1

SHA256: 465afc77d201b5815bb7ce3660a1f5a131f4429a3fa483c126ce66923e4726cc

* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.zip](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.zip)

SIZE: 15083211 bytes

MD5: 0f8aeb1f1b1cd606ab9790badabd0fb4

SHA256: 878c9cec05751a4c7019ad255a9e737d0f47ec7188cee1c522545ac7e3bc73a3

Tanti committers, testers e utenti che hanno riportato bugs mi hanno aiutato a

fare questa release. Ringrazio per il loro contributo.

layout: news_post

title: "È stato rilasciato Ruby 2.1.0-preview2"

author: "nursh"

translator: "alepore"

date: 2013-11-22 22:00:00 UTC

lang: it

Siamo lieti di annunciare il rilascio di Ruby 2.1.0-preview2.

Per favore provate le nuove feature di Ruby 2.1 prima del rilascio finale!

* risolto [Heap Overflow nel Parsing di numeri in Virgola Mobile (CVE-2013-4164)](https://www.ruby-lang.org/it/news/2013/11/22/heap-overflow-nel-parsing-di-numeri-in-virgola-mobile-cve-2013-4164/)

* "literal".freeze è ora ottimizzato [#9042](https://bugs.ruby-lang.org/issues/9042)

* il suffisso f delle String Literal è stato rimosso [#9042](https://bugs.ruby-lang.org/issues/9042)

* risolto problema di consumo memoria sul RGenGC ([r43532](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=43532) e [r43755](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=43755))

* aggiunto Exception#cause [#8257](https://bugs.ruby-lang.org/issues/8257)

* aggiornate librerie come json, nkf, rake, RubyGems, e RDoc.

* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.bz2)

SIZE: 11432454 bytes

MD5: 9d566a9b2d2e7e35ad6125e2a14ce672

SHA256: 780fddf0e3c8a219057d578e83367ecfac5e945054b9f132b3b93ded4802d1ce

* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.gz)

SIZE: 14416029 bytes

MD5: ba2b95d174e156b417a4d580a452eaf5

SHA256: a9b1dbc16090ddff8f6c6adbc1fd0473bcae8c69143cecabe65d55f95f6dbbfb

* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.zip](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.zip)

SIZE: 16110720 bytes

MD5: 2ad1aa3d89ae32607cf14fc73b192de1

SHA256: cc2f7f8e05daed716489e5480e6365a711a13ed7747dbc59e989a41fe2805076

Le modifiche rilevanti sono:

* VM (method cache)

* RGenGC (Vedi [la presentazione al RubyKaigi](http://rubykaigi.org/2013/talk/S73) e [la presentazione alla RubyConf2013](http://www.atdot.net/~ko1/activities/rubyconf2013-ko1_pub.pdf) di ko1)

* refinements [#8481](https://bugs.ruby-lang.org/issues/8481) [#8571](https://bugs.ruby-lang.org/issues/8571)

* modifiche di sintassi

* Decimal/Complex Literal [#8430](https://bugs.ruby-lang.org/issues/8430)

* valore di ritorno dei def [#3753](https://bugs.ruby-lang.org/issues/3753)

* Bignum

* usa 128bit integers [#8509](https://bugs.ruby-lang.org/issues/8509)

* usa GMP [#8796](https://bugs.ruby-lang.org/issues/8796)

* String#scrub [#8414](https://bugs.ruby-lang.org/issues/8414)

* Socket.getifaddrs [#8368](https://bugs.ruby-lang.org/issues/8368)

* RDoc 4.1.0.preview.2 e RubyGems 2.2.0.preview.2

Guarda più dettagli sulle modifiche: [NEWS su ruby repository(WIP)](https://github.com/ruby/ruby/blob/v2_1_0_preview2/NEWS).

ko1 ha parlato a proposito delle nuove features di Ruby 2.1 al toruby:

[All about Ruby 2.1](http://www.atdot.net/~ko1/activities/toruby05-ko1.pdf)

Konstantin Haase (@konstantinhaase) ha scritto un buon riassunto nel suo blog

post: [What's new in Ruby 2.1?](http://rkh.im/ruby-2.1).

Problemi noti sono:

Vedere inoltre il release schedule e altre informazioni: