http://blog.zabiello.com/articles/2008/06/22/ruby-dziury en-us 40 moje notatki, linki, komentarze <p>Jak o tym piszą na <a href="http://weblog.rubyonrails.org/2008/6/21/multiple-ruby-security-vulnerabilities">blogu RoR</a> odkryto dosyć poważne dziury bezpieczeństwa w Ruby <span class="caps">MRI</span> we wszystkich wersjach od 1.8.5 do 1.9.0. Zalecana jest aktualizacja do <a href="http://www.ruby-lang.org/en/news/2008/06/20/arbitrary-code-execution-vulnerabilities/">nowszych wersji</a>. Problem nie dotyczy JRuby, ktory nie musi się martwić o głupie problemy z przepełnieniem bufora typowe dla języka C.</p> <p>Nie wiem jak jest z <a href="http://www.rubyenterpriseedition.com/">Ruby Enteprise</a> używanym przez <a href="http://modrails.com">Passengera</a>. Profilaktycznie przestawiłem aplikację do pracy z załatanym Ruby 1.8.7-p22 (tym bardziej, że bieżąca wersja Ruby Enterprise i tak nie pracuje szybciej w wypadku systemu 64-bitowego jaki używam na serwerze). Co ciekawe, stary Rails 1.2.3 też chodzi z nowym Ruby 1.8.7 (oficjalnie tylko Rails 2.1 jest z nim kompatybilny).</p> <p><strong>Update:</strong></p> <ul> <li>Ruby Enterprise (w skrócie <span class="caps">REE</span>) został dziś <a href="http://blog.phusion.nl/2008/06/22/ruby-enterprise-edition-186-20080621-released/">załatany</a> i działa w końcu też na Mac OS-X!</li> </ul> <ul> <li>Na razie lepiej uważać na tą najnowszą, załataną wersję <span class="caps">REE</span>, bo jest niestabilna. Na Mac OS-X oraz na Ubuntu 7.10&#215;64 wywala &#8220;Segmentation fault&#8221; na niektórych stronach Rails. Wysłałem już informację do twórców aby to sprawdzili.</li> </ul> Sun, 22 Jun 2008 21:41:00 +0200 urn:uuid:f71fe176-af23-45ab-91b9-54e13f9acce1 Jarosław Zabiełło http://blog.zabiello.com/articles/2008/06/22/ruby-dziury ruby security <p>@jiima: owszem, lagodny to on nie jest :) ale napewno ma poczucie humoru, ciezkie :) ale ma: <a href="http://www.zedshaw.com/projects/earing/" rel="nofollow">http://www.zedshaw.com/projects/earing/</a></p> Tue, 24 Jun 2008 18:31:50 +0200 urn:uuid:b33cc8df-5caf-481a-ba28-8354600000bd http://blog.zabiello.com/articles/2008/06/22/ruby-dziury#comment-1719 <p>@PK</p> <p>Ciężko czyta mi się Zeda. Facet za łatwo się podnieca i za często używa f*ck i innych pięknych słów. Poza tym mam wrażenie, że robi projekcję tego, co go wkurzyło w teamie Rails na całe środowisko związane z Ruby (dodając spiskowe teorie). Moim zdaniem lekka przesada. I zgadzam się, że diffa każdy może puścić samemu.</p> Tue, 24 Jun 2008 11:45:17 +0200 urn:uuid:4011dab4-a731-46e3-b361-9a8da7a5be1f http://blog.zabiello.com/articles/2008/06/22/ruby-dziury#comment-1718 <p>Radarek: chyba masz racje, niewiele by to zmienilo, wszak tak jak zed mozna bylo sprawdzic saemu co zostalo poprawione :) a reszte historii dopisac samemu.</p> Tue, 24 Jun 2008 00:15:50 +0200 urn:uuid:7959c53c-b816-430a-afd4-f9177ef75edd http://blog.zabiello.com/articles/2008/06/22/ruby-dziury#comment-1717 <p>Paweł Kondzior: Być może nie zgodzisz się ze mną, ale co by dało publiczne info co to za dziury? Jak widać do tej pory nikt tego nie wykrył i wszyscy żyli szczęśliwie :).</p> Mon, 23 Jun 2008 19:28:02 +0200 urn:uuid:baf82efb-6266-44a9-91f1-4671e84e2cba http://blog.zabiello.com/articles/2008/06/22/ruby-dziury#comment-1716 <p>@JZ</p> <p>Czyżbym słyszał głos podziwu dla Javy :P? A tak poważnie to cieszy czas reakcji.</p> Mon, 23 Jun 2008 14:35:35 +0200 urn:uuid:67da1261-368a-416b-ad00-4e57e3ba9576 http://blog.zabiello.com/articles/2008/06/22/ruby-dziury#comment-1715 <p>Niestety jak zwykle nie podali jakie to dziury, czego unikac itd. ZSFA troche nad tym posiedzial, ciekawa lektura <a href="http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html" rel="nofollow">http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html</a>, w poniedzialek zabieram sie za latanie ruby.</p> Mon, 23 Jun 2008 00:44:00 +0200 urn:uuid:932943f4-7db8-4234-981e-dac3c05738e6 http://blog.zabiello.com/articles/2008/06/22/ruby-dziury#comment-1710