неділю, 20 лютого 2011 р.

Дві вразливості безпеки в Ruby



Цього тижня виявлено дві досить небезпечних вразливості, які присутні в усіх поточних версіях Ruby. Перша, вразливість в FileUtils.remove_entry_secure впливає як на 1.8,так і на 1.9 гілку, а друга, в режимі $SAFE, впливає тільки на 1.8.

Urabe Shyouhei з основної команди Ruby оголосив, що Fileutils вразливий для symlink race атак. Вразливість присутня у наступних версіях Ruby:

  • 1.8.6-p420 і попередні
  • 1.8.7-p330 і попередні
  • розроблювана версія 1.8 (1.8.8dev)
  • 1.9-p430 і попередні
  • 1.9.2-p136 і попередні
  • розроблювана версія 1.9 (1.9.3dev)

Вразливість з $SAFE присутня у наступних версіях Ruby:
  • 1.8.6-p420 і попередні
  • 1.8.7-p330 і попередні
  • розроблювана версія 1.8 (1.8.8dev)

Свята простота: краще оновити швидше!
Безсумнівно у вас є власні способи і засоби виконання оновлень (з використанням RVM, наприклад), проте завжди є можливість завантажити і скомпілювати останню версію Ruby з офіційного сайту:
Ruby 1.8.7-p334: http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p334.tar.gz
Ruby 1.9.1-p431: http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p431.tar.gz
Ruby 1.9.2-p180: http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p180.tar.gz

>>> Подробиці

Немає коментарів: