ruby · alepore · Nov 29, 2013 · Nov 23, 2013 · Nov 23, 2013
@@ -0,0 +1,67 @@
+---
+layout: news_post
+title: "Heap Overflow nel Parsing di numeri in Virgola Mobile (CVE-2013-4164)"
+author: "tenderlove"
+translator: "alepore"
+date: 2013-11-22 5:00:00 UTC
+lang: it
+---
+
+Esiste un problema di overflow sul parsing dei numeri in virgola mobile in Ruby.
+A questa vulnerabilità è stato assegnato l'identificativo CVE-2013-4164.
+
+Dettagli
+-------
+Ogni volta che una stringa è convertita in un valore a virgola mobile, una
+stringa costruita ad hoc può causare un heap overflow.  Questo può fare strada
+ad un attacco di tipo denial of service tramite segmentation faults ed eventuale
+esecuzione arbitraria di codice.  Qualsiasi programma che converte input di
+provenienza sconosciuta in valori a virgola mobile (procedura comune
+specialmente accettando JSON) è vulnerabile.
+
+Del codice vulnerabile si presenta in questo modo:
+
+    untrusted_data.to_f
+
+Ma qualsiasi codice che produce valori in virgola mobile da dati esterni è
+vulnerabile, come questo:
+
+    JSON.parse untrusted_data
+
+Da notare che questo bug è simile a CVE-2009-0689.
+
+Tutti gli utenti che utilizzano una versione affetta dovrebbero aggiornare alle
+versioni corrette di Ruby.
+
+
+Versioni affette
+-----------------
+* Tutte le versioni 1.8 di Ruby
+* Tutte le versioni 1.9 di Ruby precedenti a Ruby 1.9.3 patchlevel 484
+* Tutte le versioni 2.0 di Ruby precedenti a Ruby 2.0.0 patchlevel 353
+* Tutte le versioni 2.1 di Ruby precedenti a Ruby 2.1.0 preview2
+* prima di trunk revision 43780
+
+
+Soluzioni
+---------
+È consigliato a tutti gli utenti l'aggiornamento a Ruby 1.9.3 patchlevel 484,
+Ruby 2.0.0 patchlevel 353 o Ruby 2.1.0 preview2.
+
+Si noti che le serie 1.8 di Ruby o qualsiasi versione precedente sono già
+obsolete.  Non ci sono piani di rilasciare versioni corrette per queste.  Agli
+utenti di queste versioni è consigliato l'aggiornamento il prima possibile in
+quanto non possiamo garantire la disponibilità continua di aggiornamenti di
+sicurezza per le versioni non più supportate.
+
+
+Ringraziamenti
+-------
+Grazie a Charlie Somerville per aver segnalato il problema!
+
+
+Storia
+-------
+* Pubblicazione originale del 2013-11-22 04:00:00(UTC)
+* Seconda pubblicazione del 2013-11-22 06:46:00(UTC)
+* Terza pubblicazione del 2013-11-22 22:46:00(UTC)
@@ -0,0 +1,43 @@
+---
+layout: news_post
+title: "È stato rilasciato Ruby 1.9.3-p484"
+author: "usa"
+translator: "alepore"
+date: 2013-11-22 04:00:00 UTC
+lang: it
+---
+
+È stato rilasciato ora Ruby 1.9.3-p484.
+
+Questa release include un security fix relativo al core dell'interprete Ruby:
+
+ * [Heap Overflow nel Parsing di numeri in Virgola Mobile (CVE-2013-4164)](/it/news/2013/11/22/heap-overflow-nel-parsing-di-numeri-in-virgola-mobile-cve-2013-4164/)
+
+Sono inoltre inclusi alcuni bugfixes.
+Per maggiori dettagli vedere [i ticket](https://bugs.ruby-lang.org/projects/ruby-193/issues?set_filter=1&amp;status_id=5)
+e [il ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v1_9_3_484/ChangeLog).
+
+## Download
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.bz2](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.bz2)
+
+      SIZE:   10041514 bytes
+      MD5:    03f5b08804927ceabe5122cb90f5d0a9
+      SHA256: 0fdc6e860d0023ba7b94c7a0cf1f7d32908b65b526246de9dfd5bb39d0d7922b
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.gz](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.tar.gz)
+
+      SIZE:   12576996 bytes
+      MD5:    8ac0dee72fe12d75c8b2d0ef5d0c2968
+      SHA256: d684bc3a5ba72cda9ef30039f783c0f8cdc325bae5c8738c7bf05577cbe8f31d
+
+* [http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.zip](http://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p484.zip)
+
+      SIZE:   13958042 bytes
+      MD5:    1b74a8a3b1e8f13bb306dd59cc1e12d1
+      SHA256: 7496c972c716f0bc9f9c718155ef36281e9f22375867e95abc2ba64c1fb09d2e
+
+## Commenti al rilascio
+
+Tante persone hanno contribuito e mi hanno aiutato a fare questa release.
+Grazie!
@@ -0,0 +1,47 @@
+---
+layout: news_post
+title: "È stato rilasciato Ruby 2.0.0-p353"
+author: "nagachika"
+translator: "alepore"
+date: 2013-11-22 03:00:00 UTC
+lang: it
+---
+
+È stato rilasciato ora Ruby 2.0.0-p353.
+
+Questa release include un security fix relativo al parsing dei numeri in virgola
+mobile.
+
+* [Heap Overflow nel Parsing di numeri in Virgola Mobile
+  (CVE-2013-4164)](/it/news/2013/11/22/heap-overflow-nel-parsing-di-numeri-in-virgola-mobile-cve-2013-4164/)
+
+Sono inoltre inclusi alcuni bugfixes.
+Per maggiori dettagli vedere [i ticket](https://bugs.ruby-lang.org/projects/ruby-200/issues?set_filter=1&amp;status_id=5)
+e [il ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_0_0_353/ChangeLog).
+
+## Download
+
+Potete scaricare questa release da:
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.bz2)
+
+      SIZE:   10730412 bytes
+      MD5:    20eb8f067d20f6b76b7e16cce2a85a55
+      SHA256: 3de4e4d9aff4682fa4f8ed2b70bd0d746fae17452fc3d3a8e8f505ead9105ad9
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.tar.gz)
+
+      SIZE:   13572794 bytes
+      MD5:    78282433fb697dd3613613ff55d734c1
+      SHA256: 465afc77d201b5815bb7ce3660a1f5a131f4429a3fa483c126ce66923e4726cc
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.zip](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p353.zip)
+
+      SIZE:   15083211 bytes
+      MD5:    0f8aeb1f1b1cd606ab9790badabd0fb4
+      SHA256: 878c9cec05751a4c7019ad255a9e737d0f47ec7188cee1c522545ac7e3bc73a3
+
+## Commenti al rilascio
+
+Tanti committers, testers e utenti che hanno riportato bugs mi hanno aiutato a
+fare questa release. Ringrazio per il loro contributo.
@@ -0,0 +1,75 @@
+---
+layout: news_post
+title: "È stato rilasciato Ruby 2.1.0-preview2"
+author: "nursh"
+translator: "alepore"
+date: 2013-11-22 22:00:00 UTC
+lang: it
+---
+
+Siamo lieti di annunciare il rilascio di Ruby 2.1.0-preview2.
+Per favore provate le nuove feature di Ruby 2.1 prima del rilascio finale!
+
+## Modifiche rilevanti dalla preview 1
+
+* risolto [Heap Overflow nel Parsing di numeri in Virgola Mobile (CVE-2013-4164)](https://www.ruby-lang.org/it/news/2013/11/22/heap-overflow-nel-parsing-di-numeri-in-virgola-mobile-cve-2013-4164/)
+* "literal".freeze è ora ottimizzato [#9042](https://bugs.ruby-lang.org/issues/9042)
+* il suffisso f delle String Literal è stato rimosso [#9042](https://bugs.ruby-lang.org/issues/9042)
+* risolto problema di consumo memoria sul RGenGC ([r43532](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=43532) e [r43755](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=43755))
+* aggiunto Exception#cause [#8257](https://bugs.ruby-lang.org/issues/8257)
+* aggiornate librerie come json, nkf, rake, RubyGems, e RDoc.
+
+## Download
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.bz2)
+
+      SIZE:   11432454 bytes
+      MD5:    9d566a9b2d2e7e35ad6125e2a14ce672
+      SHA256: 780fddf0e3c8a219057d578e83367ecfac5e945054b9f132b3b93ded4802d1ce
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.tar.gz)
+
+      SIZE:   14416029 bytes
+      MD5:    ba2b95d174e156b417a4d580a452eaf5
+      SHA256: a9b1dbc16090ddff8f6c6adbc1fd0473bcae8c69143cecabe65d55f95f6dbbfb
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.zip](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.0-preview2.zip)
+
+      SIZE:   16110720 bytes
+      MD5:    2ad1aa3d89ae32607cf14fc73b192de1
+      SHA256: cc2f7f8e05daed716489e5480e6365a711a13ed7747dbc59e989a41fe2805076
+
+## Modifiche dalla versione 2.0
+
+Le modifiche rilevanti sono:
+
+* VM (method cache)
+* RGenGC (Vedi [la presentazione al RubyKaigi](http://rubykaigi.org/2013/talk/S73) e [la presentazione alla RubyConf2013](http://www.atdot.net/~ko1/activities/rubyconf2013-ko1_pub.pdf) di ko1)
+* refinements [#8481](https://bugs.ruby-lang.org/issues/8481) [#8571](https://bugs.ruby-lang.org/issues/8571)
+* modifiche di sintassi
+ * Decimal/Complex Literal [#8430](https://bugs.ruby-lang.org/issues/8430)
+ * valore di ritorno dei def [#3753](https://bugs.ruby-lang.org/issues/3753)
+* Bignum
+ * usa 128bit integers [#8509](https://bugs.ruby-lang.org/issues/8509)
+ * usa GMP [#8796](https://bugs.ruby-lang.org/issues/8796)
+* String#scrub [#8414](https://bugs.ruby-lang.org/issues/8414)
+* Socket.getifaddrs [#8368](https://bugs.ruby-lang.org/issues/8368)
+* RDoc 4.1.0.preview.2 e RubyGems 2.2.0.preview.2
+
+Guarda più dettagli sulle modifiche: [NEWS su ruby repository(WIP)](https://github.com/ruby/ruby/blob/v2_1_0_preview2/NEWS).
+
+ko1 ha parlato a proposito delle nuove features di Ruby 2.1 al toruby:
+[All about Ruby 2.1](http://www.atdot.net/~ko1/activities/toruby05-ko1.pdf)
+
+Konstantin Haase (@konstantinhaase) ha scritto un buon riassunto nel suo blog
+post: [What's new in Ruby 2.1?](http://rkh.im/ruby-2.1).
+
+## Commenti al rilascio
+
+Problemi noti sono:
+
+[http://bugs.ruby-lang.org/projects/ruby-trunk/issues?query_id=102](http://bugs.ruby-lang.org/projects/ruby-trunk/issues?query_id=102)
+
+Vedere inoltre il release schedule e altre informazioni:
+
+[http://bugs.ruby-lang.org/projects/ruby-trunk/wiki/ReleaseEngineering210](http://bugs.ruby-lang.org/projects/ruby-trunk/wiki/ReleaseEngineering210)