En-------------------
Talking with a friend (Mike-Crosoft) I remembered that I haven't made this 0-day/vuln public. It refers to a Null-byte Injection located at Ruby 1.9.3p194. This fail can be used by an attacker to end unexpectedly a string driving to a not wanted behavior.
Talking with Aaron Patterson (a.k.a.@TenderLove / Ruby-Top Coder Developer) we agreed it is not a big deal since next published version includes a patch already. Anyway this version is public and currently available at ruby's repos. Therefore it could be used by anybody, including a Rails Project like I have shown in the video.
As final note this post has only learning/research propose.
i'm not responsible what the final user does with this info.
ch33rz!
Sp-------------------
Platicando con un amigo (Mike-Crosoft) recordé que no había hecho publica esta vulnerabilidad. se trata de una Null-Byte Injection situada en Ruby 1.9.3p194. Esta falla puede ser usada por un atacante para terminar inesperadamente una cadena, conduciendo a un comportamiento no deseado.
Hablando con Aaron Patterson (también conocido como @TenderLove / Ruby-Top Coder Developer) estuvimos de acuerdo en que no era un gran problema ya que la próxima version publicada ya incluye un parche. De todas formas esta version es publica y actualmente disponible en los repos de ruby. Por lo tanto podría ser usada por cualquiera, incluyendo un proyecto de Rails como he mostrado en el video.
Como nota final; Esta entrada tiene solo propósitos de investigación/aprendizaje.
Yo no soy responsable de lo que el usuario final haga con esta info.
Saludos!
