From 610e1365d9fb3c2d5fe622f7a6aabd8800d9f486 Mon Sep 17 00:00:00 2001 From: Giuseppe Capizzi Date: Sat, 1 Jun 2013 00:56:40 +0200 Subject: [PATCH] Fix CVE-2013-2065 announcement translation (it) --- ...14-taint-bypass-dl-fiddle-cve-2013-2065.md | 29 +++++++++---------- 1 file changed, 14 insertions(+), 15 deletions(-) diff --git a/it/news/_posts/2013-05-14-taint-bypass-dl-fiddle-cve-2013-2065.md b/it/news/_posts/2013-05-14-taint-bypass-dl-fiddle-cve-2013-2065.md index 4131c14ae3..694bcb2c41 100644 --- a/it/news/_posts/2013-05-14-taint-bypass-dl-fiddle-cve-2013-2065.md +++ b/it/news/_posts/2013-05-14-taint-bypass-dl-fiddle-cve-2013-2065.md @@ -7,14 +7,14 @@ date: 2013-05-14 13:00:00 UTC lang: it --- -Esiste una vulnerabilità in DL e Fiddle in Ruby, in cui è possibile utilizzare -catene corrotti en una chiamata di sistema, indipendentemente dal livello di $SAFE. -Esso è stato assegnato l'identificatore CVE per la vulnerabilità CVE-2013-2065. +Esiste una vulnerabilità in DL e Fiddle in Ruby che consente di utilizzare +stringhe *tainted* in chiamate di sistema, indipendentemente dal livello di $SAFE. +Alla vulnerabilità è stato assegnato l'identificatore CVE CVE-2013-2065. ## Impatto -Funzioni native esposte in Ruby con DL o Fiddle non convalidare i valori degli oggetti -che passano. Questo potrebbe causare che oggetti corrotti sono accettati come ingresso +Le funzioni native esposte a Ruby con DL o Fiddle non controllano il valore di *taint* +degli oggetti passati. Questo potrebbe risultare in oggetti *tainted* accettati come input invece di sollevare un'eccezione di classe SecurityError. Esempio di codice vulnerabile con DL: @@ -46,11 +46,11 @@ my_function "uname -rs".taint {% endhighlight %} Tutti gli utenti che utilizzano una versione affetta devono aggiornare alla -versione più recente o di utilizzare una delle soluzioni proposte immediatamente. +versione più recente o utilizzare una delle soluzioni proposte immediatamente. -Nota: tutto questo non impedisce lo spostamento di memoria utilizzando i valori -numerici e puntatore. I numeri non sono corruttibili, quindi se si passa un spostamento -di memoria numerica compensato questo non può essere convalidato. Esempio: +Nota: tutto questo *non* impedisce l'utilizzo di offset numerici come puntatori. +I numeri non possono essere marchiati come *tainted*, quindi gli offset numerici +non possono essere convalidati. Ad esempio: {% highlight ruby %} def my_function(input) @@ -65,9 +65,8 @@ user_input = "uname -rs".taint my_function DL::CPtr[user_input].to_i {% endhighlight %} -In questo caso, ciò che sta accadendo è l'indirizzo di memoria dell'oggetto che non può -essere convalidata da DL / Fiddle. In questo caso, è necessario convalidare l'oggetto -prima di passare l'indirizzo di memoria: +In questo caso viene passato un indirizzo di memoria, che non può essere convalidato da DL / Fiddle. +È quindi necessario controllare il *taint* dell'input dell'utente prima di passare l'indirizzo di memoria: {% highlight ruby %} user_input = "uname -rs".taint @@ -98,12 +97,12 @@ end * Tutte le versioni di Ruby 2.0 precedenti alla versione a p-195 * Prima della revisione 40728 -Ruby 1.8 versioni non sono soggette alla vulnerabilità +Le versioni di Ruby 1.8 non sono soggette alla vulnerabilità. -## Credits +## Riconoscimenti Grazie a Vit Ondruch por aver segnalato questo problema. ## Cronologia -* Publicado per la prima volta il giorno 2013-05-14 alle ore 13:00:00 (UTC) +* Pubblicato per la prima volta il giorno 2013-05-14 alle ore 13:00:00 (UTC)