`
yawl
  • 浏览: 59628 次
最近访客 更多访客>>
社区版块
存档分类
最新评论

最近的ruby的vulnerabilities

    博客分类:
  • ruby
RubyRailsGoogleBlog 
阅读更多
没有时间详细看具体的问题,但是有几个显然是比较严重buffer overflow。如果rails没做足够的参数检查的话,很有可能造成远程代码执行。

有趣的是,目前最详细的介绍是来自‘著名’的zed shaw。其他地方都语焉不详。
http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html

目前的一个问题是ruby的向后兼容做得很不好。比如很多人遇到了1.8.7会造成rals 2.1以下的版本不能运行。即使是这个official的ruby 1.8.6的新版本也造成了一些rail app不能运行。为此phusion做了个第三方的release:

http://blog.phusion.nl/2008/06/23/ruby-186-p230187-broke-your-app-ruby-enterprise-edition-to-the-rescue/

分享到:
| RailsConf 08 流水帐(第四天)
评论
9 楼 neodoxy 2008-06-24  
robbin 写道
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。

报的是Rails的错,比较头疼,而且目前这个站点停不下来,所以先放一放了
8 楼 robbin 2008-06-24  
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。
7 楼 neodoxy 2008-06-24  
robbin 写道
neodoxy 写道
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

兼容性问题好像还没解决,substract报错,某方法参数错误


哪个对象的substract?给个testcase,我测试测试看。

不好意思,没说清楚,是这个Substract,目前已经退回1.8.6-p230
6 楼 robbin 2008-06-24  
neodoxy 写道
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

兼容性问题好像还没解决,substract报错,某方法参数错误


哪个对象的substract?给个testcase,我测试测试看。
5 楼 neodoxy 2008-06-24  
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

兼容性问题好像还没解决,substract报错,某方法参数错误
4 楼 phoenix520 2008-06-24  
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

刚刚下载了p22,编译后可以正常启动项目了。
3 楼 QuakeWang 2008-06-24  
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
2 楼 phoenix520 2008-06-24  
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
1 楼 QuakeWang 2008-06-24  
为了解决这个潜在的安全漏洞,JavaEye已经在把Rails升级到了2.1,这周将会把ruby也升级一下。
不过在用rails2.1的时候,遇到一个serialized column的bug,大家留意一下:
http://www.iteye.com/topic/207311
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    awnscanner:Dawn是用于Ruby编写的Web应用程序的静态分析安全扫描程序。 它支持Sinatra,Padrino和Ruby on Rails框架

    Dawnscanner-用于ruby Web应用程序的上升安全扫描器 awnscanner是一个源代码扫描程序,旨在检查您的Ruby代码是否存在安全问题。 awnscanner能够扫描普通的ruby脚本(例如,命令行应用程序),但是在处理Web应用程序...

    chromium-vulnerabilities:脆弱性历史数据

    您需要Ruby 2.4+ 运行gem install bundler (如果尚未安装bundler) cd到此仓库的根目录,运行bundle install 从rspec的根目录运行rspec以运行所有测试。 您将在GitHub Actions上看到类似的输出。 成千上万的...

    ffmpeg-vulnerabilities

    您将需要Ruby 2.7+(获取最新版本) 运行gem install bundler (如果尚未安装bundler) cd到此仓库的根目录,运行bundle install 运行bundle exec rake 如果输出没有故障,则检出! 克隆源仓库 要将存储库克隆到...

    actions:一组GitHub操作,用于检查项目中的漏洞

    Ruby Scala 码头工人 基础架构即代码 设置 这是使用其中一种动作的示例,在这种情况下,用于测试Node.js项目: name : Example workflow using Snyk on : push jobs : security : runs-on : ubuntu-latest ...

    刹车:一个针对Ruby on Rails应用程序的静态分析安全漏洞扫描程序

    Brakeman是一个静态分析工具,可检查Ruby on Rails应用程序中的安全漏洞。 安装 使用RubyGems: gem install brakeman 使用Bundler: group :development do gem 'brakeman' end 使用Docker: docker pull ...

    railsgoat:遵循OWASP Top 10的Rails的易受攻击版本

    RailsGoat是Ruby on Rails Framework从版本3到版本6的脆弱版本。它包括OWASP Top 10中的漏洞,以及一些初始项目贡献者认为值得分享的“附加功能”。 该项目旨在教育开发人员和安全专业人员。 支持 如果您正在寻求...

    dependency_spy:查找依赖项中的已知漏洞

    Dependency_spy 使用作为漏洞的源聚合器,在依赖项中查找已知的漏洞。 由于所做的惊人的工作所有的依赖清单分析是通过... Ruby Maven 努吉特 包装专家 皮皮 走 货物 先决条件 Ruby 2.3或更高版本 安装 gem install

    yavdb:另一个漏洞数据库

    Ruby 2.3或更高版本 安装 gem install yavdb 去做: 测验 资料来源 其他 功能/改进 支持非semver版本 合并重复项 刮除以解决其他程序包管理器漏洞 寻找更多资源 救命 Commands: yavdb download # Dow

    huskyCI:在CI中执行安全性测试

    它可以使用Python( and ),Ruby( ),JavaScript( 和 ),Golang( ),Java( 以及 )和HCL( )执行静态安全分析。 它还可以使用审核存储库中的密钥,例如AWS密钥,私有SSH密钥以及许多其他。 它是如何工作的...

    horusec:Horusec是一种开源工具,仅需一个命令即可改善对项目中漏洞的识别

    当前,用于分析的语言是:C#,Java,Kotlin,Python,Ruby,Golang,Terraform,Javascript,Typescript,Kubernetes,PHP,C,HTML,JSON,Dart。 该工具具有在项目的所有文件以及Git历史记录中搜索关键漏洞和...

    grype:用于容器映像和文件系统的漏洞扫描程序

    查找主要操作系统软件包的漏洞高山的忙箱CentOS /红帽德比安的Ubuntu 查找特定于语言的程序包的漏洞Ruby(Bundler) Java(JAR等) JavaScript(NPM /纱线) Python(鸡蛋/车轮) Python pip / requirements.txt / ...

    依赖项检查声纳插件:将依赖项检查报告集成到SonarQube中

    SonarQube 7.x和8.x的依赖项检查插件 将报告集成到SonarQube v7.9或更高版本中。... Dependency-Check支持以多种不同语言(包括Java,.NET,Node.js,Ruby和Python)识别项目依赖项。注意这个SonarQube

    vscode-snyk:Snyk.io的Visual Studio代码扩展

    检查针对漏洞数据库的Node.JS和Ruby依赖性。 注意:此扩展名需要Internet访问并且当前无法离线使用。演示版用法此扩展添加了Snyk Test命令,以根据已知漏洞的Snyk.io VulnDB清单检查package.json , npm-shrinkwrap...

    scan-action:作为GitHub Action提供的Anchore容器分析和扫描

    GitHub漏洞扫描措施 :high_voltage: 以闪电般的速度查找文件或容器中的威胁 :high_voltage: 这是一个GitHub动作,用于调用扫描程序并返回找到的漏洞,如果发现的漏洞具有可配置的严重性级别,则该失败(可选... Ruby

    0days-in-the-wild:有关0天被野外利用的信息的存储库

    野外利用0天该存储库是有关零日漏洞检测的参考文档,这些零日漏洞被检测为是在野外利用的。 它既包括针对每个0天漏洞的根本原因分析(RCA),也包括一个跟踪每个0天漏洞的表格。 这些文档旨在通过Github页面进行查看...

    PoC:@pedrib已公开的咨询,概念证明文件和漏洞利用

    佩德罗·里贝罗(Pedro Ribeiro) 场该存储库包含我公开的信息,漏洞利用,脚本等,位于 。 :我所有的公共咨询,研究笔记等 :与我的Pwn2Own参与有关的咨询:我所有的公共漏洞利用 :由我自己创建并集成到...

    Wordpresscan:用Python重写WPScan +一些WPSeku想法

    Wordpresscan 一个简单的基于WPScan(Ruby版本)以python编写的Wordpress扫描程序,某些功能受WPSeku的启发。免责声明The authors of this github are not responsible for misuse or for any damage that you may ...

Magicbox
Global site tag (gtag.js) - Google Analytics