News RSS Feed

Europäische Ruby Konferenz 2008 (EURUKO)

Fri, 07 Mar 2008 17:01:26 GMT

Vom 29. bis 30. März findet die EURUKO 2008 in Prag statt.

Ruby 1.9.0 veröffentlicht

Tue, 25 Dec 2007 19:32:04 GMT

Ruby 1.9.0 wurde veröffentlicht. (Die Ankündigung gibt es in der Ruby Mailingliste). Es handelt sich bei diesem Release um eine Entwicklerversion die nicht für den produktiven Einsatz gedacht ist!

Der Quelltext ist in den folgenden drei Formaten verfügbar:

ruby-1.9.0-0.tar.bz2 (5 MB)

md5: 407cc7d0032e19eb12216c0ebc7f17b3

ruby-1.9.0-0.tar.gz (6 MB)

md5: b20cce98b284f7f75939c09d5c8e846d

ruby-1.9.0-0.zip (7 MB)

md5: 78b2a5f9a81c5f6775002c4fb24d2d75

Einige Änderungen sind in der Ruby-Mine beschrieben.

Net::HTTPS Sicherheitslücke

Thu, 04 Oct 2007 21:00:28 GMT

Es wurde eine Sicherheitslücke in der net/https Bibliothek entdeckt.

Detailierte Informationen finden Sie in der ursprünglichen Veröffentlichung.

Auswirkung

Die Sicherheitslücke liegt in der connect Methode innerhalb von http.rb, welche fehlerhafter Weise den post_connection_check, nach einem erfolgreichen SSL Verbindungsaufbau, nicht aufruft. Dadurch wird das Server Zertifikat nicht gegen den angeforderten DNS Namen validiert. Ein Angreifer kann dadurch einen Zielserver bei einer SSL Verbindung imitieren. Die Vertrauenswürdigkeit einer so aufgebauten SSL Verbindung ist damit nicht mehr vorhanden.

Gefährdete Versionen

1.8 Serie

1.8.4 und alle vorherigen
1.8.5-p113 und alle vorherigen
1.8.6-p110 und alle vorherigen

Entwicklerversion (1.9 Serien)

Alle Versionen vor dem 2006-09-23

Lösung

1.8 Serie

Bitte aktualisieren Sie auf die Version 1.8.6-p111 oder 1.8.5-p114.

Weiterhin sollten sie die Methode Net::HTTP#enable_post_connection_check= nutzen um den post_connection_check zu aktivieren.

http = Net::HTTP.new(host, 443)
http.use_ssl = true
http.enable_post_connection_check = true
http.verify_mode = OpenSSL::SSL::VERIFY_PEER
store = OpenSSL::X509::Store.new
store.set_default_paths
http.cert_store = store
http.start {
  response = http.get("/")
}

Beachten Sie, dass eine fehlerbereinigte Version eventuell bereits über Ihren Paketmanager zur Verfügung stehen könnte.

Entwicklerversion (1.9 Serie)

Bitte aktualsieren Sie Ihr Ruby auf eine Version nach 2006-09-23. Der Standardwert von Net::HTTP#enable_post_connection_check wurde auf true in Ruby 1.9 gesetzt.

Ruby 1.8.6 veröffentlicht

Tue, 13 Mar 2007 19:58:49 GMT

Ruby 1.8.6 wurde veröffentlicht. (Die Ankündigung gibt es in der Ruby Mailingliste)

Der Quelltext ist in den folgenden drei Formaten verfügbar:

ruby-1.8.6.tar.bz2 (3.8 MB)

md5: e558a0e00ae318d43bf6ff9af452bad2

ruby-1.8.6.tar.gz (4.4 MB)

md5: 23d2494aa94e7ae1ecbbb8c5e1507683

ruby-1.8.6.zip (5.3 MB)

md5: 5f4b82cec8f437634e05a3ce9bb3ca67

Eine Auflistung aller Änderungen (seit Version 1.8.5) findet sich in den Dateien NEWS und ChangeLog.

Nach der Veröffentlichung von Ruby 1.8.6 beginnt nun die Arbeit an der Version 1.8.7. Es werden jedoch in Zukunft kritische Fehler und Sicherheitslücken im Zweig "ruby_1_8_6" bereinigt und in Form eines Patchlevel-Updates bereitgestellt.

CVS Repository ab 16. März nicht mehr verfügbar

Wed, 07 Mar 2007 20:27:41 GMT

Der CVS Dienst (betrifft auch CVSup und CVSweb) wird am 16. März 2007 um 3:00 Uhr (UTC Zeit) abgeschaltet. Das Code Repository ist nun nur noch über SVN verfügbar.

Sollte jemand das aktuelle CVS Repository benötigen so hat er bis zum 16. noch die Möglichkeit es über CVSup herunterzuladen.

Deutsches Rubyforum und Wiki wieder erreichbar

Sat, 27 Jan 2007 14:29:11 GMT

Nachdem seit Freitag dem 26.01.2007 das deutschen Rubyforum und Wiki, aufgrund einiger Probleme mit dem Serverprovider, Offline war, sind die beiden Seiten nun unter neuer Domain wieder erreichbar.

Repository von CVS auf SVN geändert

Fri, 22 Dec 2006 14:28:20 GMT

Wir haben soebend das gesamte Ruby Repository nach Subversion portiert. Es ist über http://svn.ruby-lang.org/repos/ruby/ zu erreichen. Ihr könnt den Quellcode nun direkt mit dem svn Befehl auschecken oder Ihn über ViewVC im Browser begutachten.

Die neue Hardware für svn.ruby-lang.org wurde von Sun Microsystems gestellt. Wir verwenden als Betriebssystem Solaris 10 und es läuft bisher ziemlich gut.

Ruby on Rails Bootcamp

Thu, 21 Dec 2006 00:24:22 GMT

Vom 26. bis zum 30. März 2007 findet in Kloster Eberbach (nähe Frankfurt) das Ruby on Rails Bootcamp statt. Organisiert wird dies von der Big Nerd Ranch Europe. Weitere Informationen finden sich auf http://www.bignerdranch.com/news/2006-12-20.shtml.

Eine weitere DoS Sicherheitslücke in der CGI Bibliothek

Mon, 04 Dec 2006 21:40:38 GMT

Eine weitere Sicherheitslücke wurde in der CGI Bibliothek entdeckt, welche direkt mit Ruby ausgeliefert wird. Diese kann von böswilligen Benutzern dazu verwendet werden, einen Denial of Services Angriff (DoS) durchzuführen.

Die Schwachstelle wurde als JVN#84798830 veröffentlicht.

Bitte beachtet, dass der letzte Patch dieses Problem nicht behebt.

Auswirkungen

Eine bestimmte HTTP-Anfrage belastet die CPU übermäßig, wenn die Web-Anwendung die cgi.rb benutzt. Viele solcher Anfragen führen zur einer Überlastung (DoS).

Betroffene Versionen

1.8 Reihe: 1.8.5 und alle vorherigen
Entwicklerversion (1.9 Reihe): Alle Versionen vor dem 04.12.2006

Lösung

1.8 Reihe

Bitte benutzt die Version 1.8.5-p2.

(4519151 bytes, md5sum: a3517a224716f79b14196adda3e88057)

Bitte bedenkt, dass Euer Paketmanager eventuell bereits einen dementsprechenden Patch eingespielt hat.

Entwicklerversion (1.9 Reihe)

Bitte benutze eine Version ab dem 4 Dezember 2006.

Weitere Informationen

DoS Sicherheitslücke in CGI Bibliothek

Thu, 09 Nov 2006 21:51:04 GMT

Es wurde eine Sicherheitslücke in der CGI-Bibliothek (cgi.rb) gefunden welche direkt mit Ruby zusammen ausgeliefert wird. Diese kann von böswilligen Benutzern dazu verwendet werden, einen Denial of Services Angriff (DoS) durchzuführen. Das Problem wird dadurch hervorgerufen, dass eine HTTP Anfrage, welche eine Multipart MIME Kodierung verwendet, einen ungültigen Begrenzer enthält. Ein solcher ungültiger Begrenzer könnte so “-” statt so “--” aussehen. Das Verhalten führt dazu, dass sämtlicher zur Verfügung stehender Speicher belegt wird. Hierbei handelt es sich um eine typische DoS Vorraussetzung.

Ruby 1.8.5 und sämtliche vorherigen Versionen sind von dieser Sicherheitslücke betroffen. Die Schwachstelle wurde als CVE-2006-5467 veröffentlicht.

Betroffene Versionen

1.8 Reihe: 1.8.5 und alle vorherigen
Entwicklerversion (1.9 Reihe): Alle Versionen vor dem 23.09.2006

Lösung

1.8 Reihe

Verwende bitte den folgenden Patch nachdem du auf die Version 1.8.5 gewechselt hast:

CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)

Bitte bedenke, dass eventuell dein Paketmanager bereits einen dementsprechenden Patch eingespielt hat.

Entwicklerversion (1.9 Reihe)

Bitte benutze eine Version ab dem 23. September 2006.

Referenzen

[SEC] Mongrel Temporary Fix For cgi.rb 99% CPU DoS Attack