Skip to content

Fix CVE-2013-2065 announcement translation (it) #164

New issue

Have a question about this project? # for a free GitHub account to open an issue and contact its maintainers and the community.

#

By clicking “#”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? # to your account

Merged
1 commit merged into from
Jun 1, 2013
Merged

Fix CVE-2013-2065 announcement translation (it) #164

Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
29 changes: 14 additions & 15 deletions it/news/_posts/2013-05-14-taint-bypass-dl-fiddle-cve-2013-2065.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -7,14 +7,14 @@ date: 2013-05-14 13:00:00 UTC
lang: it
---

Esiste una vulnerabilità in DL e Fiddle in Ruby, in cui è possibile utilizzare
catene corrotti en una chiamata di sistema, indipendentemente dal livello di $SAFE.
Esso è stato assegnato l'identificatore CVE per la vulnerabilità CVE-2013-2065.
Esiste una vulnerabilità in DL e Fiddle in Ruby che consente di utilizzare
stringhe *tainted* in chiamate di sistema, indipendentemente dal livello di $SAFE.
Alla vulnerabilità è stato assegnato l'identificatore CVE CVE-2013-2065.

## Impatto

Funzioni native esposte in Ruby con DL o Fiddle non convalidare i valori degli oggetti
che passano. Questo potrebbe causare che oggetti corrotti sono accettati come ingresso
Le funzioni native esposte a Ruby con DL o Fiddle non controllano il valore di *taint*
degli oggetti passati. Questo potrebbe risultare in oggetti *tainted* accettati come input
invece di sollevare un'eccezione di classe SecurityError.

Esempio di codice vulnerabile con DL:
Expand Down Expand Up @@ -46,11 +46,11 @@ my_function "uname -rs".taint
{% endhighlight %}

Tutti gli utenti che utilizzano una versione affetta devono aggiornare alla
versione più recente o di utilizzare una delle soluzioni proposte immediatamente.
versione più recente o utilizzare una delle soluzioni proposte immediatamente.

Nota: tutto questo non impedisce lo spostamento di memoria utilizzando i valori
numerici e puntatore. I numeri non sono corruttibili, quindi se si passa un spostamento
di memoria numerica compensato questo non può essere convalidato. Esempio:
Nota: tutto questo *non* impedisce l'utilizzo di offset numerici come puntatori.
I numeri non possono essere marchiati come *tainted*, quindi gli offset numerici
non possono essere convalidati. Ad esempio:

{% highlight ruby %}
def my_function(input)
Expand All @@ -65,9 +65,8 @@ user_input = "uname -rs".taint
my_function DL::CPtr[user_input].to_i
{% endhighlight %}

In questo caso, ciò che sta accadendo è l'indirizzo di memoria dell'oggetto che non può
essere convalidata da DL / Fiddle. In questo caso, è necessario convalidare l'oggetto
prima di passare l'indirizzo di memoria:
In questo caso viene passato un indirizzo di memoria, che non può essere convalidato da DL / Fiddle.
È quindi necessario controllare il *taint* dell'input dell'utente prima di passare l'indirizzo di memoria:

{% highlight ruby %}
user_input = "uname -rs".taint
Expand Down Expand Up @@ -98,12 +97,12 @@ end
* Tutte le versioni di Ruby 2.0 precedenti alla versione a p-195
* Prima della revisione 40728

Ruby 1.8 versioni non sono soggette alla vulnerabilità
Le versioni di Ruby 1.8 non sono soggette alla vulnerabilità.

## Credits
## Riconoscimenti

Grazie a Vit Ondruch por aver segnalato questo problema.

## Cronologia

* Publicado per la prima volta il giorno 2013-05-14 alle ore 13:00:00 (UTC)
* Pubblicato per la prima volta il giorno 2013-05-14 alle ore 13:00:00 (UTC)