`
yawl
  • 浏览: 60745 次
最近访客 更多访客>>
社区版块
存档分类
最新评论

最近的ruby的vulnerabilities

    博客分类:
  • ruby
RubyRailsGoogleBlog 
阅读更多
没有时间详细看具体的问题,但是有几个显然是比较严重buffer overflow。如果rails没做足够的参数检查的话,很有可能造成远程代码执行。

有趣的是,目前最详细的介绍是来自‘著名’的zed shaw。其他地方都语焉不详。
http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html

目前的一个问题是ruby的向后兼容做得很不好。比如很多人遇到了1.8.7会造成rals 2.1以下的版本不能运行。即使是这个official的ruby 1.8.6的新版本也造成了一些rail app不能运行。为此phusion做了个第三方的release:

http://blog.phusion.nl/2008/06/23/ruby-186-p230187-broke-your-app-ruby-enterprise-edition-to-the-rescue/

分享到:
| RailsConf 08 流水帐(第四天)
评论
9 楼 neodoxy 2008-06-24  
robbin 写道
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。

报的是Rails的错,比较头疼,而且目前这个站点停不下来,所以先放一放了
8 楼 robbin 2008-06-24  
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。
7 楼 neodoxy 2008-06-24  
robbin 写道
neodoxy 写道
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

兼容性问题好像还没解决,substract报错,某方法参数错误


哪个对象的substract?给个testcase,我测试测试看。

不好意思,没说清楚,是这个Substract,目前已经退回1.8.6-p230
6 楼 robbin 2008-06-24  
neodoxy 写道
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

兼容性问题好像还没解决,substract报错,某方法参数错误


哪个对象的substract?给个testcase,我测试测试看。
5 楼 neodoxy 2008-06-24  
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

兼容性问题好像还没解决,substract报错,某方法参数错误
4 楼 phoenix520 2008-06-24  
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?

刚刚下载了p22,编译后可以正常启动项目了。
3 楼 QuakeWang 2008-06-24  
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。

可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
2 楼 phoenix520 2008-06-24  
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
1 楼 QuakeWang 2008-06-24  
为了解决这个潜在的安全漏洞,JavaEye已经在把Rails升级到了2.1,这周将会把ruby也升级一下。
不过在用rails2.1的时候,遇到一个serialized column的bug,大家留意一下:
http://www.iteye.com/topic/207311
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    Ruby-ApacheJmeter是一款旨在为负载测试功能行为和测量性能的开源的Java应用程序

    从压缩包的文件名“CVE-2018-1297-master”来看,这可能是一个与安全漏洞相关的项目分支,具体来说是CVE(Common Vulnerabilities and Exposures)编号为2018-1297的漏洞。CVE是一种全球性的安全漏洞命名系统,用于...

    awnscanner:Dawn是用于Ruby编写的Web应用程序的静态分析安全扫描程序。 它支持Sinatra,Padrino和Ruby on Rails框架

    Dawnscanner-用于ruby Web应用程序的上升安全扫描器 awnscanner是一个源代码扫描程序,旨在检查您的Ruby代码是否存在安全问题。 awnscanner能够扫描普通的ruby脚本(例如,命令行应用程序),但是在处理Web应用程序...

    chromium-vulnerabilities:脆弱性历史数据

    您需要Ruby 2.4+ 运行gem install bundler (如果尚未安装bundler) cd到此仓库的根目录,运行bundle install 从rspec的根目录运行rspec以运行所有测试。 您将在GitHub Actions上看到类似的输出。 成千上万的...

    ffmpeg-vulnerabilities

    您将需要Ruby 2.7+(获取最新版本) 运行gem install bundler (如果尚未安装bundler) cd到此仓库的根目录,运行bundle install 运行bundle exec rake 如果输出没有故障,则检出! 克隆源仓库 要将存储库克隆到...

    actions:一组GitHub操作,用于检查项目中的漏洞

    Ruby Scala 码头工人 基础架构即代码 设置 这是使用其中一种动作的示例,在这种情况下,用于测试Node.js项目: name : Example workflow using Snyk on : push jobs : security : runs-on : ubuntu-latest ...

    刹车:一个针对Ruby on Rails应用程序的静态分析安全漏洞扫描程序

    Brakeman是一个静态分析工具,可检查Ruby on Rails应用程序中的安全漏洞。 安装 使用RubyGems: gem install brakeman 使用Bundler: group :development do gem 'brakeman' end 使用Docker: docker pull ...

    railsgoat:遵循OWASP Top 10的Rails的易受攻击版本

    RailsGoat是Ruby on Rails Framework从版本3到版本6的脆弱版本。它包括OWASP Top 10中的漏洞,以及一些初始项目贡献者认为值得分享的“附加功能”。 该项目旨在教育开发人员和安全专业人员。 支持 如果您正在寻求...

    jfrog-xray-3.52.4-rpm

    它不仅可以识别已知的CVE(Common Vulnerabilities and Exposures),还可以检测许可证冲突,帮助开发者遵循企业的合规策略。 使用JFrog Xray,用户可以实现以下关键功能: 1. **实时安全扫描**:在代码集成、构建...

    国家互联网应急中心2021年开源软件供应链安全风险研究报告2021.6(25页).pdf

    2. CVE(Common Vulnerabilities and Exposures)官方未收录的开源软件漏洞数逐年增加,意味着很多漏洞可能未被充分识别和解决。 3. 从POC(Proof of Concept)披露到NVD(National Vulnerability Database)首次...

    dependency_spy:查找依赖项中的已知漏洞

    Dependency_spy 使用作为漏洞的源聚合器,在依赖项中查找已知的漏洞。 由于所做的惊人的工作所有的依赖清单分析是通过... Ruby Maven 努吉特 包装专家 皮皮 走 货物 先决条件 Ruby 2.3或更高版本 安装 gem install

    yavdb:另一个漏洞数据库

    Ruby 2.3或更高版本 安装 gem install yavdb 去做: 测验 资料来源 其他 功能/改进 支持非semver版本 合并重复项 刮除以解决其他程序包管理器漏洞 寻找更多资源 救命 Commands: yavdb download # Dow

    jdk1.7_80 window.64

    - **Scripting Language Support:** Improved integration with scripting languages like JavaScript, Ruby, and Python through the javax.script package. - **JSON Processing (JSR 353):** A standard API ...

    sslscan.cr:包裹rbsecsslscan实用程序的水晶碎片

    3. Crystal语言:Crystal是一种静态类型的、编译型的、面向对象的、并发友好的编程语言,设计灵感来源于Ruby,但具有更高效的性能。`sslscan.cr`项目利用Crystal的特性,提供了快速且简洁的代码实现来完成SSL/TLS...

    huskyCI:在CI中执行安全性测试

    它可以使用Python( and ),Ruby( ),JavaScript( 和 ),Golang( ),Java( 以及 )和HCL( )执行静态安全分析。 它还可以使用审核存储库中的密钥,例如AWS密钥,私有SSH密钥以及许多其他。 它是如何工作的...

    horusec:Horusec是一种开源工具,仅需一个命令即可改善对项目中漏洞的识别

    当前,用于分析的语言是:C#,Java,Kotlin,Python,Ruby,Golang,Terraform,Javascript,Typescript,Kubernetes,PHP,C,HTML,JSON,Dart。 该工具具有在项目的所有文件以及Git历史记录中搜索关键漏洞和...

    grype:用于容器映像和文件系统的漏洞扫描程序

    查找主要操作系统软件包的漏洞高山的忙箱CentOS /红帽德比安的Ubuntu 查找特定于语言的程序包的漏洞Ruby(Bundler) Java(JAR等) JavaScript(NPM /纱线) Python(鸡蛋/车轮) Python pip / requirements.txt / ...

    依赖项检查声纳插件:将依赖项检查报告集成到SonarQube中

    SonarQube 7.x和8.x的依赖项检查插件 将报告集成到SonarQube v7.9或更高版本中。... Dependency-Check支持以多种不同语言(包括Java,.NET,Node.js,Ruby和Python)识别项目依赖项。注意这个SonarQube

    vscode-snyk:Snyk.io的Visual Studio代码扩展

    检查针对漏洞数据库的Node.JS和Ruby依赖性。 注意:此扩展名需要Internet访问并且当前无法离线使用。演示版用法此扩展添加了Snyk Test命令,以根据已知漏洞的Snyk.io VulnDB清单检查package.json , npm-shrinkwrap...

    scan-action:作为GitHub Action提供的Anchore容器分析和扫描

    GitHub漏洞扫描措施 :high_voltage: 以闪电般的速度查找文件或容器中的威胁 :high_voltage: 这是一个GitHub动作,用于调用扫描程序并返回找到的漏洞,如果发现的漏洞具有可配置的严重性级别,则该失败(可选... Ruby

    0days-in-the-wild:有关0天被野外利用的信息的存储库

    野外利用0天该存储库是有关零日漏洞检测的参考文档,这些零日漏洞被检测为是在野外利用的。 它既包括针对每个0天漏洞的根本原因分析(RCA),也包括一个跟踪每个0天漏洞的表格。 这些文档旨在通过Github页面进行查看...

Magicbox
Global site tag (gtag.js) - Google Analytics