Aktualizacje bezpieczeństwa dla wszystkich wersji Ruby MRI

Opublikowane przez Jarosław Zabiełło Sun, 22 Jun 2008 19:41:00 GMT

Jak o tym piszą na blogu RoR odkryto dosyć poważne dziury bezpieczeństwa w Ruby MRI we wszystkich wersjach od 1.8.5 do 1.9.0. Zalecana jest aktualizacja do nowszych wersji. Problem nie dotyczy JRuby, ktory nie musi się martwić o głupie problemy z przepełnieniem bufora typowe dla języka C.

Nie wiem jak jest z Ruby Enteprise używanym przez Passengera. Profilaktycznie przestawiłem aplikację do pracy z załatanym Ruby 1.8.7-p22 (tym bardziej, że bieżąca wersja Ruby Enterprise i tak nie pracuje szybciej w wypadku systemu 64-bitowego jaki używam na serwerze). Co ciekawe, stary Rails 1.2.3 też chodzi z nowym Ruby 1.8.7 (oficjalnie tylko Rails 2.1 jest z nim kompatybilny).

Update:

  • Ruby Enterprise (w skrócie REE) został dziś załatany i działa w końcu też na Mac OS-X!
  • Na razie lepiej uważać na tą najnowszą, załataną wersję REE, bo jest niestabilna. Na Mac OS-X oraz na Ubuntu 7.10×64 wywala “Segmentation fault” na niektórych stronach Rails. Wysłałem już informację do twórców aby to sprawdzili.

Tagi ,  | 6 comments

Comments

Skomentuj

  1. Avatar Paweł Kondzior powiedział about 3 hours later:

    Niestety jak zwykle nie podali jakie to dziury, czego unikac itd. ZSFA troche nad tym posiedzial, ciekawa lektura http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html, w poniedzialek zabieram sie za latanie ruby.

  2. Avatar jiima powiedział about 17 hours later:

    @JZ

    Czyżbym słyszał głos podziwu dla Javy :P? A tak poważnie to cieszy czas reakcji.

  3. Avatar Radarek powiedział about 22 hours later:

    Paweł Kondzior: Być może nie zgodzisz się ze mną, ale co by dało publiczne info co to za dziury? Jak widać do tej pory nikt tego nie wykrył i wszyscy żyli szczęśliwie :).

  4. Avatar Paweł Kondzior powiedział 1 day later:

    Radarek: chyba masz racje, niewiele by to zmienilo, wszak tak jak zed mozna bylo sprawdzic saemu co zostalo poprawione :) a reszte historii dopisac samemu.

  5. Avatar jiima powiedział 1 day later:

    @PK

    Ciężko czyta mi się Zeda. Facet za łatwo się podnieca i za często używa f*ck i innych pięknych słów. Poza tym mam wrażenie, że robi projekcję tego, co go wkurzyło w teamie Rails na całe środowisko związane z Ruby (dodając spiskowe teorie). Moim zdaniem lekka przesada. I zgadzam się, że diffa każdy może puścić samemu.

  6. Avatar Paweł Kondzior powiedział 1 day later:

    @jiima: owszem, lagodny to on nie jest :) ale napewno ma poczucie humoru, ciezkie :) ale ma: http://www.zedshaw.com/projects/earing/

Subskrypcja RSS dla tego wpisu

(leave url/email »)

   Pomoc języka formatowania Obejrzyj komentarz