неділя, 20 лютого 2011 р.

Дві вразливості безпеки в Ruby



Цього тижня виявлено дві досить небезпечних вразливості, які присутні в усіх поточних версіях Ruby. Перша, вразливість в FileUtils.remove_entry_secure впливає як на 1.8,так і на 1.9 гілку, а друга, в режимі $SAFE, впливає тільки на 1.8.

Urabe Shyouhei з основної команди Ruby оголосив, що Fileutils вразливий для symlink race атак. Вразливість присутня у наступних версіях Ruby:

  • 1.8.6-p420 і попередні
  • 1.8.7-p330 і попередні
  • розроблювана версія 1.8 (1.8.8dev)
  • 1.9-p430 і попередні
  • 1.9.2-p136 і попередні
  • розроблювана версія 1.9 (1.9.3dev)

Вразливість з $SAFE присутня у наступних версіях Ruby:
  • 1.8.6-p420 і попередні
  • 1.8.7-p330 і попередні
  • розроблювана версія 1.8 (1.8.8dev)

Свята простота: краще оновити швидше!
Безсумнівно у вас є власні способи і засоби виконання оновлень (з використанням RVM, наприклад), проте завжди є можливість завантажити і скомпілювати останню версію Ruby з офіційного сайту:
Ruby 1.8.7-p334: http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p334.tar.gz
Ruby 1.9.1-p431: http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p431.tar.gz
Ruby 1.9.2-p180: http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p180.tar.gz

>>> Подробиці

четвер, 17 лютого 2011 р.

Використання Sinatra з Bundler для розгортання додатку на Heroku

Хотів почати із зачаровуючого та інтригуючого заголовку. І, безумовно, заголовок повинен відповідати вмісту статі.
Веб-фреймворк Sinatra не потребує повторного представлення. Я писав про нього раніше у цьому блозі. В цій статті мова піде про два інші інструменти згадані у заголовку.

Що таке Bundler?
Це менеджер для управління залежностями gem'ів в ruby додатках. Ця утиліта дозволяє легко встановлювати необхідні gem'и для вашої програми, при цьому зовсім не залежати від встановлених в системі.
Встановлюємо цю утиліту як будь-який інший gem:
$ gem install bundler

Для використання Bundler з Sinatra, потрібно зробити дві речі.

четвер, 10 лютого 2011 р.

I'm alive! - 2011

Давненько сюди не писав. Просто не було настрою.
Це буде перший запис у новому 2011, році який надіюсь буде не менш багатий на події ніж попередній. Світ Ruby у 2010 був багатим на події та нові релізи. Найбільш помітні з них на мою думку:
Хочеться вірити у цьому році ця тенденція збережеться.

Стосовно цього блогу, в найближчих планах мабуть написати щось про QtRuby.

Схожі записи: