Ruby RSS News

Ruby 1.9.3-p429 veröffentlicht

Tue, 14 May 2013 17:00:00 +0000

Ruby 1.9.3-p429 ist soeben veröffentlicht worden. Die vor einigen Stunden veröffentlichte Version p426 hatte auf manchen Plattformen Kompilierprobleme. Verwenden Sie daher bitte diese neue Version p429.

Dieser Release beinhaltet einen Sicherheitsfix für DL / Fiddle.

Umgehung von Object#taint in DL und Fiddle in Ruby (CVE-2013-2065)

Einige kleine Buxfixes sind ebenfalls enthalten.

Siehe Tickets und ChangeLog für weitere Informationen.

Download

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.tar.bz2

SIZE:   10042323 bytes
MD5:    c2b2de5ef15ea9b1aaa3152f9112af1b
SHA256: 9d8949c24cf6fe810b65fb466076708b842a3b0bac7799f79b7b6a8791dc2a70

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.tar.gz

SIZE:   12553234 bytes
MD5:    993c72f7f805a9eb453f90b0b7fe0d2b
SHA256: d192d1afc46a7ef27b9d0a3c7a67b509048984db2c38907aa82641bdf980acf4

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.zip

SIZE:   13869978 bytes
MD5:    1986f3934e61b999873d21a79d69d88d
SHA256: 8bd0ecc2dd8eec471aa44f88abdcd82f4b398e9110ca06f76eff066b653b8b90

Danksagung

Viele Committer, Tester und Nutzer, die Probleme gemeldet haben, halfen mir bei der Veröffentlichung dieser Version. Vielen Dank an alle.

Ruby 2.0.0-p195 veröffentlicht

Tue, 14 May 2013 13:00:01 +0000

Ruby 2.0.0-p195 wurde veröffentlicht. Dies ist der erste Patchlevel-Release von Ruby 2.0.0.

Diese Version beinhaltet einen Sicherheitsfix für DL / Fiddle.

Umgehung von Object#taint in DL und Fiddle in Ruby (CVE-2013-2065)

Sie enthält außerdem viele Bugfixes, einige Optimierungen sowie Verbesserungen in der Dokumentation.

Downloads

ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.tar.bz2

SIZE:   10807456 bytes
MD5:    2f54faea6ee1ca500632ec3c0cb59cb6
SHA256: 0be32aef7a7ab6e3708cc1d65cd3e0a99fa801597194bbedd5799c11d652eb5b

ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.tar.gz

SIZE:   13641558 bytes
MD5:    0672e5af309ae99d1703d0e96eff8ea5
SHA256: a2fe8d44eac3c27d191ca2d0ee2d871f9aed873c74491b2a8df229bfdc4e5a93

ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.zip

SIZE:   15092199 bytes
MD5:    924fe4bea72b1b258655211998631791
SHA256: 81a4dc6cc09e491d417a51e5983c4584eff849e2a186ec3affdbe5bc15cd7db5

Änderungen

Die wichtigsten Änderungen sind unten aufgelistet. Siehe das ChangeLog oder die Tickets für weitere Informationen.

Vielen Dank an alle Committer und Mitwirkende.

Core - prepend

  #7841 Module#prepend now detect cyclic prepend.
  #7843 removing prepended methods causes exceptions.
  #8357 Module#prepend breaks Module's comparison operators.
  #7983 Module#prepend can't override Fixnum's operator methods.
  #8005 methods made private/protected after definition become uncallable on prepended class.
  #8025 Module#included_modules include classes when prepended.

Core - keyword arguments

  #7922 unnamed keyword rest argument cause SyntaxError.
  #7942 support define method only receive keyword arguments without paren.
  #8008 fix a bug in super with keyword arguments.
  #8236 fix a treatment of rest arguments and keyword arguments through `super'.
  #8260 non-symbol key should not treated as keyword arguments.

Core - refinements

  #7925 fix a bug of refinements with a method call super in a block.

Core - GC

  #8092 improve accuracy of GC.stat[:heap_live_num]
  #8146 avoid unnecessary heap growth.
  #8145  fix unlimited memory growth with large values of RUBY_FREE_MIN.

Core - Regexp

  #7972 Regexp POSIX space class is location sensitive.
  #7974 Regexp case-insensitive group doesn't work.
  #8023 Regexp lookbehind assertion fails with /m mode enabled
  #8001 Regexp \Z matches where it shouldn't

Core - other

  #8063 fix a potential memory violation and avoid abort on the environment _FORTIFY_SOURCE=2 (ex. Ubuntu).
  #8175 ARGF#skip doesn't work as documented.
  #8069 File.expand_path('something', '~') now support home path on Windows.
  #8220 fix a Segmentation fault when defined? ().
  #8367 fix a regression in defined?(super).
  #8283 Dir.glob doesn't recurse hidden directories.
  #8165 fix a bug of multiple require with non-ascii file path.
  #8290 fix an incompatible String#inspect behavior with NUL character.
  #8360 fix a Segmentation fault of Thread#join(Float::INFINITY) on some platforms.

RubyGems

  Bundled RubyGems version is updated to 2.0.2+
  #7698 fix an rubygems' incompatibility about installation of extension libraries.
  #8019 fix a bug of gem list --remote doesn't work.

Libraries

  #7911 File.fnmatch with US-ASCII pattern and UTF-8 path raise an exception.
  #8240 fix a bug about OpenSSL::SSL::SSLSocket breaks other connections or files on GC.
  #8183 CGI.unescapeHTML can't decode Numeric Character References with uppercase (&#Xnnnn).

Build/Platform specific

  #7830 fix build failure with compiler warning.
  #7950 fix a build failure on mswin/VC with --with-static-linked-ext.

Umgehung von Object#taint in DL und Fiddle in Ruby (CVE-2013-2065)

Tue, 14 May 2013 13:00:00 +0000

Es besteht eine Verwundbarkeit in DL und Fiddle in Ruby, wodurch als “tainted” eingestufte Strings unabhängig von dem durch Ruby festgelegten $SAFE-Level in Systemaufrufen verwendet werden können. Dieser Schwachstelle wurde die CVE-Nummer CVE-2013-2065 zugewiesen.

Auswirkungen

Native Funktionen, die mittels DL oder Fiddle von Ruby aus aufgerufen werden, überprüfen nicht den “taint”-Status der ihnen übergebenen Objekte. Dies kann dazu führen, dass als “tainted” eingestufte Objekte als Eingabe akzeptiert werden anstatt eine SecurityError-Ausnahme auszulösen.

Betroffener Code für DL kann etwa folgendermaßen aussehen:

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys_cfunc = DL::CFunc.new(handle['system'], DL::TYPE_INT, 'system')
  sys       = DL::Function.new(sys_cfunc, [DL::TYPE_VOIDP])
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Betroffener Code für Fiddle kann etwa folgendermaßen aussehen:

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                          [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Alle Nutzer eines betroffenen Releases sollten dringend aktualisieren oder einen der folgenden Workarounds anwenden.

Beachten Sie, dass dies eine Verwendung von numerischen Memory-Offsets als Pointer-Werte nicht verhindert. Zahlen können nicht als “tainted” markiert werden, so dass Code, der einen numerischen Memory-Offset übergibt, nicht überprüft werden kann. Zum Beispiel:

def my_function(input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                          [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call input
end

$SAFE = 1
user_input = "uname -rs".taint
my_function DL::CPtr[user_input].to_i

In diesem Fall wird der Speicherort übergeben und der “taint”-Status des Objekts kann von DL / Fiddle nicht festgestellt werden. Überprüfen Sie in solchen Fällen den “taint”-Status der Benutzereingabe vor der Übergabe des Speicherorts:

user_input = "uname -rs".taint
raise if $SAFE >= 1 && user_input.tainted?
my_function DL::CPtr[user_input].to_i

Workarounds

Wenn ein Upgrade von Ruby nicht möglich ist, kann der folgende Monkeypatch als Notlösung verwendet werden:

class Fiddle::Function
  alias :old_call :call
  def call(*args)
    if $SAFE >= 1 && args.any? { |x| x.tainted? }
      raise SecurityError, "tainted parameter not allowed"
    end
    old_call(*args)
  end
end

Betroffene Versionen

Alle Versionen von Ruby 1.9 vor Ruby 1.9.3 patchlevel 426
Alle Versionen von Ruby 2.0 vor Ruby 2.0.0 patchlevel 195
Alle Trunk-Versionen vor Revision 40728

Ruby 1.8 ist nicht betroffen.

Danksagung

Vielen Dank an Vit Ondruch für das Melden dieses Problems.

Verlauf

Erstmals veröffentlicht am 2013-05-14 13:00:00 (UTC)

Ruby 2 veröffentlicht

Sun, 24 Feb 2013 10:33:03 +0000

Wir sind höchst erfreut, heute, am 20. Geburtstag von Ruby, die Veröffentlichung von Ruby 2.0.0-p0 ankündigen zu können. Ruby 2.0.0 ist das erste stabile Release der 2.0er Serie, mit zahlreichen neuen Features und Verbesserungen als Antwort auf die steigenden und expandierenden Ansprüche an die Programmiersprache Ruby.

Haben Sie viel Freude an der Programmierung mit Ruby 2.0.0!

Was ist Ruby 2

Neue Features

Ein paar der Höhepunkte:

Sprachkern:
- Benannte Parameter, die API-Design Flexibilität geben
- Module#prepend ermöglicht neue Wege, Klassen zu erweitern
- Ein neues Literal %i, das ein Array von Symbolen erzeugt
- __dir__ gibt den Verzeichnispfad der aktuell ausgeführten Datei zurück
- UTF-8 ist nun die Standardkodierung, wodurch der magische Kommentar nun weggelassen werden kann
Eingebaute Bibliotheken:
- Enumerable#lazy und Enumerator::Lazy, für (durchaus unendliche) lazy Streams
- Enumerator#size und Range#size, für lazy Größenfeststellung
- #to_h, die neue Konvention zur Konvertierung in einen Hash
- Onigmo, die neue Engine für Reguläre Ausdrücke (ein Fork von Oniguruma)
- Asynchrones API zum Behandeln von Exceptions
Debugging-Unterstützung
- Unterstützung von DTrace, sodass Runtime-Diagnosen in Produktion möglich werden
- TracePoint, ein verbessertes Tracing-API
Performanzverbesserungen:
- GC-Optimierung durch Bitmap Marking
- Optimierungen an Kernel#require, wodurch sich die Startzeit von Rails drastisch verringert
- Optimierungen an der VM, etwa am Methoden-Dispatch
- Optimierungen bei der Gleitkommazahlberechnung

Darüberhinaus enthält 2.0.0 Refinements zur Erweiterung von Rubys Modularität, allerdings als experimentelles Feature. Für noch mehr, siehe die NEWS.

Kompatibilität

Wir haben auch darauf geachtet, 2.0.0 kompatibel zu 1.9 zu designen, daher sollte es einfacher sein, von 1.9 auf 2.0 zu migrieren, als damals von 1.8 auf 1.9 (die auffälligen Inkompatibilitäten werden weiter unten beschrieben).

Tatsächlich sind, dank der bemerkenswerten Arbeit Dritter, einige populäre Anwendungen wie Rails und tDiary bereits erfolgreich auf die Release-Candidates von 2.0.0 portiert worden.

Dokumentation

Es gibt zahlreiche Verbesserungen an der Dokumentation, was viele Rubyisten gefordert haben. Wir haben riesige Berge von RDoc für Module und Methoden geschrieben; insgesamt ist 2.0.0 zu rund 75% dokumentiert, wohingegen 1.9.3 nur zu etwa 60% abgedeckt war. Daneben gibt es nun eine Beschreibung von Rubys Syntax, einsehbar mit:

ri ruby:syntax

Stabilität

Beachten Sie, dass, anders als 1.9.0, 2.0.0 ein stabiles Release ist, obwohl die teeny-Nummer 0 ist. Es wird allen Autoren von Programmbibliotheken stärkstens empfohlen, 2.0.0 zu unterstützen — wie bereits gesagt, sollte die Migration von 1.9 auf 2.0 nicht sonderlich schwerfallen.

Ruby 2.0.0 ist produktionsreif und wir Ihr Leben als Rubyist verschönern.

Notizen

Einführende Artikel

Hier sind einige Einführungen in Ruby 2 von Dritten:

http://blog.marc-andre.ca/2013/02/23/ruby-2-by-example (ausführlich, empfohlen)
https://speakerdeck.com/shyouhei/whats-new-in-ruby-2-dot-0 (ausführlich, empfohlen)
http://el.jibun.atmarkit.co.jp/rails/2012/11/ruby-20-8256.html (kurz, japanisch)
https://speakerdeck.com/nagachika/rubyist-enumeratorlazy (nur Enumerator::Lazy, japanisch)

Die folgenden Artikel sind durchaus hilfreich, aber im Bezug auf Refinements veraltet:

In der aktuellen Ausgabe des Rubyist Magazine finden sich einige Artikel, die von den Feature-Entwicklern selbst verfasst wurden:

http://jp.rubyist.net/magazine/?0041-200Special

Obwohl diese Artikel in Japanisch verfasst wurden, sind für die Zukunft englische Übersetzungen geplant.

Inkompatibilitäten

Es gibt fünf auffällige Inkompatibilitäten, von denen wir wissen:

Die Standardkodierung für Ruby-Skripte ist nun UTF-8 [#6679]. Einige Leute sind der Meinung, dass dies existierende Programme betrifft, etwa werden scheinbar einige Benchmark-Programme sehr langsam [ruby-dev:46547].
Iconv wurde entfernt. Es war ohnehin schon seit der Einführung von M17n in Ruby 1.9 deprecated; benutzen Sie stattdessen String#encode usw.
Es gibt einen ABI-Bruch [ruby-core:48984]. Wir sind allerdings der Auffassung, dass normale Nutzer einfach ihre Extension-Libraries neu installieren können/sollten. KOPIEREN SIE KEINE .so- ODER .bundle-DATEIEN VON 1.9.
#lines, #chars, #codepoints und #bytes geben nun ein Array anstelle eines Enumerators zurück [#6670], wodurch das gewohnt gewordene Idiom lines.to_a entfällt. Nutzen Sie #each_line usw. um einen Enumerator zu erhalten.
Object#inspect gibt nun stets einen String à la #<ClassName:0x...> zurück statt an #to_s zu delegieren [#2152].

Daneben gibt es einige vergleichsweise kleine Inkompatibilitäten [ruby-core:49119].

Status von Refinements

Wir haben ein neues Feature namens Refinements in die Sprache eingeführt, das Rubys Modularität um ein weiteres Konzept erweitert. Beachten Sie jedoch bitte, dass Refinements noch immer experimentell sind: wir können ihre Spezifikation in Zukunft ändern. Abgesehen davon möchten wir Sie jedoch dazu ermutigen, mit ihnen zu spielen und uns Ihre Gedanken dazu mitzuteilen. Ihr Feedback wird dabei helfen, diese interessante Feature festzuschmieden.

Danksagung

Eine große Anzahl von Leuten haben an Ruby 2 mitgearbeitet, eine komplette Danksagung selbst für wenige Teile der Mitarbeit wäre viel zu groß, um sie hier einzufügen. Es tut mir Leid, aber lassen Sie mich stattdessen einen Link auf eine SpecialThanks-Seite setzen:

https://bugs.ruby-lang.org/projects/ruby/wiki/200SpecialThanks

Vielen Dank euch allen!

Download

ruby-2.0.0-p0.tar.bz2

MD5-Summe

895c1c581f8d28e8b3bb02472b2ccf6a

SHA256

c680d392ccc4901c32067576f5b474ee186def2fcd3fcbfa485739168093295f

Größe

10.814.890 Byte

ruby-2.0.0-p0.tar.gz

MD5-Summe

50d307c4dc9297ae59952527be4e755d

SHA256

aff85ba5ceb70303cb7fb616f5db8b95ec47a8820116198d1c866cc4fff151ed

Größe

13.608.925 Byte

ruby-2.0.0-p0.zip

MD5-Summe

db5af5d6034646ad194cbdf6e50f49ee

SHA256

0d0af6a9c8788537efd8d7d2358ce9468e6e2b7703dacba9ebd064d8b7da5f99

Größe

15.037.340 Byte

Ruby 1.9.3-p392 veröffentlicht

Sat, 23 Feb 2013 09:27:32 +0000

Ruby 1.9.3-p392 ist nun auch noch veröffentlicht worden — wir entschuldigen uns für diese häufigen Releases, aber hierbei handelt es sich um wichtige Sicherheitsaktualisierungen.

Hierbei handelt es sich um die neueste stabile Version der 1.9er-Serie. Sie enthält Sicherheitsfixes für die mit Ruby mitgelieferten JSON- und REXML-Bibliotheken, nebst einigen kleineren Bugfixes.

Siehe die Tickets und das Changelog für weitere Informationen.

Download

ruby-1.9.3-p392.tar.bz2

MD5-Summe

a810d64e2255179d2f334eb61fb8519c

SHA256

5a7334dfdf62966879bf539b8a9f0b889df6f3b3824fb52a9303c3c3d3a58391

Größe

10.024.221 Byte

ruby-1.9.3-p392.tar.gz

MD5-Summe

f689a7b61379f83cbbed3c7077d83859

SHA256

8861ddadb2cd30fb30e42122741130d12f6543c3d62d05906cd41076db70975f

Größe

12.557.294 Byte

ruby-1.9.3-p392.zip

MD5-Summe

212fb3bc41257b41d1f8bfe0725916b7

SHA256

f200ce4a63ce57bea64028a507350717c2a16bdbba6d9538bc69e9e7c2177c8b

Größe

13.863.402 Byte

Danksagung

Viele Commiter, Tester und Nutzer, die Fehler gemeldet haben, halfen uns sehr bei der Veröffentlichung dieser Version. Vielen Dank an alle eure Mitarbeit.

Entitätsexpansion-DoS-Schwachstelle in REXML (XML-Bombe, CVE-2013-1821)

Sat, 23 Feb 2013 09:14:24 +0000

Unkontrollierte Expansion von Entitäten in REXML kann zu einer DoS-Verwundbareit führen. Dieser Verwundbarkeit wurde die CVE-Nummer CVE-2013-1821 zugewiesen. Wir empfehlen stark, Ruby zu aktualisieren.

Details

Beim Lesen von Textknoten aus einem XML-Dokument kann der REXML-Parser dazu gebracht werden, extrem große String-Objekte zu allokieren, die den gesamten Arbeitsspeicher eines Rechners verbrauchen und somit für eine Denial-of-Service-Attacke genutzt werden können.

Betroffener Code sieht so aus:

document = REXML::Document.new some_xml_doc
document.root.text

Wenn die #text-Methode aufgerufen wird, werden die Entitäten expandiert. Ein Angreifer kann so mithilfe eines verhältnismäßig kleinen XML-Dokuments erreichen, dass bei der Expansion der Entitäten extreme Mengen an Arbeitsspeicher auf dem Zielsystem verbraucht werden.

Beachten Sie, dass dieser Angriff dem „Billion Laughs“-Angriff ähnlich ist, sich aber dennoch von diesem unterscheidet. Er ist auch mit Pythons CVE-2013-1664 verwandt.

Alle Nutzer eines betroffenen Release sind angehalten, entweder umgehend zu aktualisieren oder den folgenden Workaround anzuwenden.

Workaround

Wenn Sie Ruby nicht aktualisieren können, benutzen Sie diesen Monkeypatch als Notlösung:

class REXML::Document
  @@entity_expansion_text_limit = 10_240

  def self.entity_expansion_text_limit=( val )
    @@entity_expansion_text_limit = val
  end

  def self.entity_expansion_text_limit
    @@entity_expansion_text_limit
  end
end

class REXML::Text
  def self.unnormalize(string, doctype=nil, filter=nil, illegal=nil)
    sum = 0
    string.gsub( /\r\n?/, "\n" ).gsub( REFERENCE ) {
      s = self.expand($&, doctype, filter)
      if sum + s.bytesize > REXML::Document.entity_expansion_text_limit
        raise "entity expansion has grown too large"
      else
        sum += s.bytesize
      end
      s
    }
  end

  def self.expand(ref, doctype, filter)
    if ref[1] == ?#
      if ref[2] == ?x
        [ref[3...-1].to_i(16)].pack('U*')
      else
        [ref[2...-1].to_i].pack('U*')
      end
    elsif ref == '&amp;'
      '&'
    elsif filter and filter.include?( ref[1...-1] )
      ref
    elsif doctype
      doctype.entity( ref[1...-1] ) or ref
    else
      entity_value = DocType::DEFAULT_ENTITIES[ ref[1...-1] ]
      entity_value ? entity_value.value : ref
    end
  end
end

Der Monkeypatch begrenzt die Größe der Entitätsersetzungen auf 10.000 pro Knoten; REXML besitzt bereits eine Standardbegrenzung auf 10.000 Entitätsersetzungen pro Dokument, sodass die durch Entitätsersetzung maximal erzeugbare Menge an Text sich um etwa 98 Megabyte bewegen wird.

Betroffene Versionen

Alle Versionen von Ruby 1.9 vor 1.9.3-p392
Alle Versionen von Ruby 2 vor 2.0.0-p0
Alle Trunk-Revisionen vor Revision 39384

Danksagung

Vielen Dank an Ben Murphy für das Melden dieses Problems.

Verlauf

CVE-Nummer ergänzt am 2013-03-11 07:45:00 (UTC)
Erstmals veröffentlicht am 2013-02-22 12:00:00 (UTC)

Denial-of-Service- und Objekterstellungs-Sicherheitslücken in JSON (CVE-2013-0269)

Sat, 23 Feb 2013 08:54:03 +0000

Es ist möglich, einen Denial-of-Service- und Objekterstellungs-Angriff auf die mit Ruby ausgelieferte json-Bibliothek durchzuführen. Dieser Sicherheitslücke wurde die CVE-Nummer CVE-2013-0269 zugewiesen und wir empfehlen dringend, Ruby zu aktualisieren.

Details

Beim Parsen gewisser JSON-Dokumente kann das json-Gem (auch das mit Ruby mitgelieferte) dazu gebracht werden, Ruby-Symbole in ein Zielsystem einzuschleusen. Da Ruby-Symbole bekanntlich nicht von der Garbage Collection betroffen sind, kann dies für einen Denial-of-Service-Angriff ausgenutzt werden.

Dieselbe Technik kann genutzt werden, um auf einem Zielsystem Objekte zu erstellen, die sich wie interne Objekte verhalten. Diese erscheinen nach außen hin normal, können aber zur Umgehung bestimmter Sicherheitsmechanismen benutzt werden und damit als Sprungbrett für SQL-Injection-Angriffe in RubyOnRails dienen.

Betroffener Code sieht so aus:

JSON.parse(user_input)

Wobei die user_input-Variable ein JSON-Dokument hält, das etwa so aussieht:

{"json_class":"foo"}

Das JSON-Gem wird daraufhin versuchen, die Konstante foo nachzuschlagen und dabei ein Symbol erzeugen.

In json Version 1.7.x können Objekte mit beliebigen Attributen wie folgt erstellt werden:

{"json_class":"JSON::GenericObject","foo":"bar"}

Dieses Dokument erzeugt eine Instanz von JSON::GenericObject mit einem Attribut foo, das den Wert "bar" hält. Durch die Instanziierung solcher Objekte können beliebige Symbole erzeugt werden und in einigen Fällen sogar Sicherheitsmechanismen umgangen werden.

BITTE BEACHTEN: Dieses Verhalten ändert sich nicht bei der Verwendung von JSON.load. JSON.load sollte man niemals Input aus nicht vertrauenswürdigen Quellen übergeben — wenn Se JSON aus nicht vertrauenswürdigen Quellen verarbeiten, benutzen Sie immer JSON.parse.

Alle Nutzer eines betroffenen Release sollten entweder aktualisieren oder einen der folgenden Workarounds umgehend anwenden.

Workarounds

Nutzer, die Ruby oder das JSON-Gem nicht aktualisieren können, sollten ihren Code von diesem:

JSON.parse(json)

auf diesen ändern:

JSON.parse(json, :create_additions => false)

Wenn Sie den JSON.parse nutzenden Code nicht anpassen können (weil Sie zum Beispiel ein Gem wie multi_json verwenden, das von JSON.parse abhängt), verwenden Sie diesen Monkeypatch:

module JSON
  class << self
    alias :old_parse :parse
    def parse(json, args = {})
      args[:create_additions] = false
      old_parse(json, args)
    end
  end
end

Betroffene Versionen

Alle Versionen von Ruby 1.9 vor 1.9.3-p392
Alle Versionen von Ruby 2 vor 2.0.0-p0
Alle Trunk-Revisionen vor Revision 39208

Danksagung

Großer Dank geht an die folgenden Personen, die das Problem verantwortungsvoll gemeldet („responsible disclosure“) und mit dem Rails-Team zusammengearbeitet haben, um es zu beheben:

Thomas Hollstegge von Zweitag (www.zweitag.de)
Ben Murphy

Verlauf

Erstmals veröffentlicht: 2013-02-22 12:00:00 (UTC)

Call for Papers für die Barcelona Ruby Conference eröffnet

Sun, 17 Feb 2013 20:30:30 +0000

Die Barcelona Ruby Conference findet dieses Jahr am 14. und 15. September im Herzen von Catalunya, Spanien, statt. Nebst weiteren treten Weltklasse-Sprecher wie Aaron Patterson (Rails und Ruby-Core), David Chelimsky (Autor von The RSpec Book), Charles O. Nutter (JRuby-Maintainer), Sandi Metz (Autor von Practical Object-Oriented Design in Ruby) und Yukihiro „Matz“ Matsumoto (Erfinder von Ruby) auf.

Der Call for Papers ist bereits eröffnet und Vorschläge werden bis zum 10. März entgegengenommen — verpassen Sie nicht die Chance, auf dieser Liste zu stehen!

Insgesamt gibt es vier freie Plätze, und jeder der vier ausgewählten Sprecher erhält ein kostenfreies Ticket zur Konferenz inklusive Kost und Logis. Auf dieser Website können Sie den momentanen Status des Call for Papers überprüfen und Ihre Eingabe machen.

Die Ruby-Hero-Awards 2013

Sun, 17 Feb 2013 19:44:25 +0000

Die Ruby Hero Awards akzeptieren ab sofort Nominierungen und wir brauchen eure Hilfe, um Leute zu finden, die dankesohne anderen helfen und vielleicht nicht einmal die Aufmerksamkeit erhalten, die sie verdienen. Das könnte jemand sein, der an Open-Source-Ruby-Software gearbeitet hat, die du nützlich fandest, ein Tutor, oder vielleicht jemand, der bei der Organisation von Ruby-Events half.

Wenn du eine Minute Zeit hast, erübrige sie, um jemanden auf rubyheroes.com zu nominieren. Gib einfach den GitHub-Nutzernamen der Person, die du nominieren möchtest ein und uns gegenüber einen Grund an, weshalb diese Person die Auszeichnung erhalten sollte. In etwa einem Monat werden alle Ruby Heroes des letzten Jahres bei der Entscheidung helfen, wer die diesjährigen sechs Auszeichnungen erhält, die live auf der Railsconf Ende April verliehen werden.

Ruby 2.0.0-rc2 veröffentlicht

Fri, 08 Feb 2013 20:27:03 +0000

Der zweite Release Candidate von Ruby 2 ist veröffentlicht worden. Dies ist der letzte Release Candidate vor Ruby 2 und wir bitten darum, alle Probleme, die möglicherweise auftreten, zu melden.

Neue Features in Ruby 2

Benannte Argumente
Enumerable#lazy
Module#prepend
#to_h: Konvention zur Konvertierung in ein Hash
%i Literal zur Erstellung eines Arrays von Symbolen
Aktualisierte Engine für reguläre Ausdrücke: Onigmo (ein Fork von Oniguruma)
Enumerator#size und Range#size
DTrace-Support
TracePoint
Optimierte Performance für require (insbesondere auf Windows)
Support für NativeClient
Verbesserung der Dokumentation
Erweitertes asynchrones Interrupt-Handling
Startzeit-Parameter zum Tuning der Stackgröße
Refinements [experimentell]

…und viel mehr. Siehe NEWS für Details.

Hier noch einige Artikel Dritter zum Thema:

Ruby 2.0 on Rails
Preview of the new features in Ruby 2.0.0
Ruby 2.0 Preview 1 Released, Final Release in February 2013
Refinements in Ruby
Ruby 2.0初のプレビュー版がリリース！注目機能は!? (japanisch)
怠惰なRubyistへの道 – Enumerator::Lazy の使いかた (Enumerator::Lazy, japanisch)

(Wenn Sie freiwillig Artikel schreiben möchten, können wir diese in der nächsten Ankündigung zitieren oder referenzieren)

Weiteres

Inkompatibilitäten

Es gibt drei größere uns bekannte Inkompatibilitäten:

Das Standardencoding für Ruby-Skripte ist nun UTF-8 [#6679]. Einige Leute berichten, dass dies existierende Programme betrifft, beispielsweise werden einige Benchmark-Programme sehr langsam [ruby-dev:46547]. Die Spec hierzu kann sich zum offiziellen Release noch ändern.
iconv wurde entfernt. Es war bereits in Ruby 1.9 bei der Einführung von M17n als deprecated markiert worden und ist damit durch String#encode obsolet. Nutzen Sie dieses stattdessen.
Es gibt binäre Inkompatibilitäten (ABI breakage, [ruby-core:489894]. Wir denken, dass normale Nutzer einfach ihre Extension-Libraries neu installieren können/sollten. SIE DÜRFEN KEINE .so- ODER .bundle-DATEIEN VON RUBY 1.9 KOPIEREN.

Daneben gibt es noch einige kleinere Inkompatibilitäten [ruby-core:49119]. Melden Sie alle weiteren Inkompatibilitäten, die Ihnen auffallen.

FYI: Wir arbeiten an Upgrade-Hinweisen, aber einige Teile sind bereits veraltet: https://bugs.ruby-lang.org/projects/ruby/wiki/200UpgradeNotesDraft

Zum Status von Refinements

2.0.0 wird Refinements als experimentelles Feature enthalten, weil wir uns nicht auf eine detaillierte Spec einigen konnten. Das bedeutet, dass sich ihr Verhalten in zukünftigen Versionen von Ruby ändern kann.

Spezielle Danksagungen

Ich danke allen, die die Preview und ersten Release Candidate ausprobiert haben. Darüber hinaus bin all den hart arbeitenden Contributors meinen Dank schuldig. Ich bin wirklich all den Leuten, die mir bei dieser Veröffentlichung geholfen haben, sehr dankbar.

Download

ruby-2.0.0-rc2.tar.bz2

MD5-Summe

e92420131bd7994513e0bf09a3e2a19b

SHA256

d55f897bb04283c5fa80223d96d990fe8ecb598508dd59443b356cbba1f66145

Größe

10.822.239 Byte

ruby-2.0.0-rc2.tar.gz

MD5-Summe

9d5e6f26db7c8c3ddefc81fdb19bd41a

SHA256

87072ab3e6d393d47f7402682364e4f24efe1c518969795cc01fcdeeb0e646f3

Größe

13.616.756 Byte

ruby-2.0.0-rc2.zip

MD5-Summe

1a2d33f1c50e32ca1532f8dea4790d53

SHA256

c28e9baf3aa00b41b8823c16df436ae143e8a63e43e7a53302f23119e13d0ebf

Größe

15.118.480 Byte