Actualités de Ruby-lang

Vulnérabilité de type DoS dans la librairie BigDecimal

Wed, 10 Jun 2009 00:09:21 GMT

Une faille du type déni de service (DoS) a été révélée dans la librairie standard BigDecimal. La conversion des objets BigDecimal en Float ouvrait la voie à des erreurs de segmentations volontaires.

ActiveRecord se base sur cette classe, aussi la plupart des applications Rails sont elles touchées par ce bug, mais ce n'est pas une faille exclusive à Rails.

Description

Un attaquant peut provoquer un DOS en forçant BigDecimal à scanner un nombre immense, du type :

BigDecimal("9E69999999").to_s("F")

Versions touchées

branche 1.8

1.8.6-p368 et toutes les versions précédentes
1.8.7-p160 et toutes les versions précédentes

branche 1.9

Aucune des versions 1.9.1 n'est affectée

Solution

branche 1.8

Une mise à jour vers 1.8.6-p369 ou ruby-1.8.7-p173 règle le problème.

Engine Yard assurera le maintien de Ruby 1.8.6

Sat, 23 May 2009 21:52:04 GMT

Après un petit délai de mise en route interne, l'équipe de développement de Ruby a officiellement annoncé que le maintien de la branche 1.8.6 ne serait plus assurée par Urabe Shyouhei, mais par Kirk Haines, d'Engine Yard.

Cette branche a été lancée en 2007. Depuis lors, l'équipe de ruby-core a fourni du support, notamment par le traitement des bugs rapportés et par la communication d'alertes de sécurité. Ruby 1.8.6 a été un succès, si bien que ses utilisateurs ont manifesté le souhait que ce support perdure, au-delà des dates prévues en interne. Avec un accord de principe, restait à savoir qui allait s'en occuper. Engine Yard s'est proposée et il a été décidé de leur transférer les accès appropriés.

Du point de vue des utilisateurs, cette annonce officielle n'introduit aucun changement… si ce n'est que les fix et les mises-à-jour devraient sortir à un rythme un peu plus rapide.

Sortie de Ruby 1.9.1-p129

Thu, 14 May 2009 07:13:54 GMT

La version 1.9.1-p129 de Ruby est sortie.

Il s'agit d'un ensemble de correctifs pour Ruby 1.9.1 qui couvrent de nombreux bugs et deux vulnérabilités. À ce titre, il est recommandé d'installer cette mise-à-jour.

Téléchargement

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.tar.bz2>

SIZE:   7183891 bytes
MD5:    6fa62b20f72da471195830dec4eb2013
SHA256: cb730f035aec0e3ac104d23d27a79aa9625fdeb115dae2295de65355f449ce27

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.tar.gz>

SIZE:   9034947 bytes
MD5:    c71f413514ee6341c627be2957023a5c
SHA256: 27b7a8ace1d17cec237020ae9355230b53f8c3875f8d942de903e7d58d14253b

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.zip>

SIZE:   10299369 bytes
MD5:    156305e9633758eb60b419fabc33b6e4
SHA256: 6cbf0eda4ba0afedd8f0bd320e6a14f826149ef517d8bb967149af0558b0743b

À propos des vulnérabilités corrigées

DL::Function#call could pass tainted arguments to a C function even if

$SAFE > 0.

DL::dlopen could open a library with tainted library name even if

$SAFE > 0

Sortie de Ruby 1.8.7-p160 et 1.8.6-p368

Sat, 02 May 2009 10:36:06 GMT

Des mises à jour aux releases Ruby 1.8.7 et 1.8.6 sont disponibles.

Plusieurs douzaines de bugs résolus, notamment pour CVE-2007-1558 et CVE-2008-1447, ainsi que des segfaults. Plus de détails dans les changelogs.

Les archives :

Checksums :

MD5(ruby-1.8.6-p368.tar.gz)= 508bf1911173ac43e4e6c31d9dc36b8f
SHA256(ruby-1.8.6-p368.tar.gz)= cc8cad3edd02d8c2de3c63a7d8a5cb85af39766dd47360a9c0f26339b101e2a0
SIZE(ruby-1.8.6-p368.tar.gz)= 4602095

MD5(ruby-1.8.6-p368.tar.bz2)= 623447c6d8c973193aae565a5538ccfc
SHA256(ruby-1.8.6-p368.tar.bz2)= 1bd398a125040261f8e9e74289277c82063aae174ada9f300d2bea0a42ccdcc1
SIZE(ruby-1.8.6-p368.tar.bz2)= 3967709

MD5(ruby-1.8.6-p368.zip)= 3d301a4b1aded1922570585bbece2c29
SHA256(ruby-1.8.6-p368.zip)= 8ba4bfd14d2914bfe2c18ffa9da084234be978fd0eee654f7a5c732a1beb0246
SIZE(ruby-1.8.6-p368.zip)= 5619494

MD5(ruby-1.8.7-p160.tar.gz)= 945398f97e2de6dd8ab6df68d10bb1a1
SHA256(ruby-1.8.7-p160.tar.gz)= 47c3d1ae6b3dbda230d04f258304516fc1da571fa757d5e1d8d0104b49045530
SIZE(ruby-1.8.7-p160.tar.gz)= 4818817

MD5(ruby-1.8.7-p160.tar.bz2)= f8ddb886b8a81cf005f53e9a9541091d
SHA256(ruby-1.8.7-p160.tar.bz2)= e524a086212d2142c03eb6b82cd602adcac9dcf8bf60049e89aa4ca69864984d
SIZE(ruby-1.8.7-p160.tar.bz2)= 4137518

MD5(ruby-1.8.7-p160.zip)= 06319bafa225df47fe26dfb52bc174a7
SHA256(ruby-1.8.7-p160.zip)= c56fefbb9e7e186bf9feeb864793ad2a53062ce871b47ab0170316e38f738995
SIZE(ruby-1.8.7-p160.zip)= 5876269

Les changelogs sont compris dans ces archives, ou disponibles directement via :

Sortie de Ruby 1.9.1

Mon, 02 Feb 2009 11:24:04 GMT

La version 1.9.1 de Ruby est sortie. Il s’agit de la première version stable de la branche 1.9, qui correspond à la branche active de développement du langage : plus moderne, plus rapide, apportant une syntaxe simplifiée, un excellent support des langues, bref, un meilleur Ruby.

La branche 1.8 a été initiée en 2003 et a permis le développement de très nombreux produits. C’est maintenant au tour des 1.9.x de prendre le relai, mais les 1.8.x sont pour le moment toujours en activité — la version 1.8.8 sortira courant 2009.

Vous pouvez prendre connaissance des changements majeurs intervenus depuis la version 1.8.7 dans ce document

Depuis la 1.9.1 RC2, sept bugs ont été corrigés.

Si vous tombez sur un os ou tout autre problème, pensez à poster un rapport de bug sur le tracker officiel.

Téléchargement

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.tar.bz2
TAILLE : 7190271 bytes

MD5 : 0278610ec3f895ece688de703d99143e

SHA256 : de7d33aeabdba123404c21230142299ac1de88c944c9f3215b816e824dd33321

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.tar.gz
TAILLE : 9025004 bytes

MD5 : 50e4f381ce68c6de72bace6d75f0135b

SHA256 : a5485951823c8c22ddf6100fc9e10c7bfc85fb5a4483844033cee0fad9e292cc

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.zip
TAILLE : 10273609 bytes

MD5 : 3377d43b041877cda108e243c6b7f436

SHA256 : 00562fce4108e5c6024c4152f943eaa7dcc8cf97d5c449ac102673a0d5c1943b

RubyConf 2008 : un résumé en vidéo

Fri, 28 Nov 2008 23:54:53 GMT

En attendant que les vidéos des conférences soient mises à disposition sur Confreaks, vous pouvez jeter un œil et une oreille à ce résumé de 31 minutes sur Rails Envy !

Scotland on Rails 2009

Tue, 11 Nov 2008 11:13:12 GMT

L’équipe de Scotland on Rails a le plaisir de vous annoncer que l’édition 2009 de la conférence se tiendra du 26 au 28 mars 2009 à Édimbourg, en Écosse.

Les propositions de conférences sont acceptées jusqu’au 1er décembre 2008, sous la forme d’un mail plaintext, décrivant les 45 minutes de session, pour submissions@scotlandonrails.com.

Si vous souhaitez participer en tant que sponsor, envoyez un mail à sponsorship@scotlandonrails.com.

Si vous souhaitez être notifié de la date d’ouverture des inscriptions, rendez-vous sur le site pour une inscription au reminder.

Édimbourg n’attend plus que vous pour partager ses whisky, château, volcan, ruby… whisky… !

MountainWest RubyConf 2009

Tue, 11 Nov 2008 11:02:12 GMT

L’édition 2009 de la MountainWest RubyConf se tiendra les 13 et 14 mars 2009 à Salt Lake City, Utah, aux États-Unis.

Les propositions de conférences sont désormais acceptées : contactez proposals@mtnwestrubyconf.org avant le 31 décembre 2008, minuit (MST).

Si vous souhaitez participer en tant que sponsor, contactez sponsorship@mtnwestruby.org.

Pour tous les détails supplémentaires, voyez mtnwestrubyconf.org.

Sortie de Ruby 1.9.1-preview 1

Tue, 28 Oct 2008 21:11:16 GMT

Yugui (Yuki Sonoda) a annoncé la sortie de Ruby 1.9.1-preview 1 :

Il s’agit d’une pré-version (preview release) de Ruby 1.9.1, qui sera la première version stable de la branche 1.9. Découvrez donc avec cette pré-version un Ruby plus moderne et plus rapide, offrant une syntaxe plus claire, un support multilingue poussé, et bien d’autres améliorations. Si vous tombez nez-à-nez avec un bug ou un problème quelconque, n’hésitez pas à nous en faire part en utilisant le gestionnaire de bug officiel (http://redmine.ruby-lang.org).

Vous pouvez télécharger cette pré-version dans les formats suivants :

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-preview1.tar.bz2
SIZE: 6169022 bytes MD5: 0d51dc949bb6b438ad4ebfabbb5f6754 SHA256: dc39000537d7c7528ef26af8e1c3a6215b30b6c579c615eaec7013513410456a

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-preview1.tar.gz
SIZE: 7409682 bytes MD5: 738f701532452fd5d36f5c155f3ba692 SHA256: 99443bdae9f94ba7b08de187881f8cbee172379edf9c5fa85fc04c869150ff6d

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-preview1.zip
SIZE: 8569116 bytes MD5: 5f68246246c4cd29d8a3b6b34b29b6ac SHA256: a6c3a7bf7ea83b595024764926353e08596a78e40c57ac58c568662e5e88df95

Euruko 2008

Mon, 25 Feb 2008 19:32:51 GMT

EURUKO (European Ruby Conference) est une conférence annuelle qui propose conférences, barcamp, etc. Cette année, retrouvez les rubyistes européens à Prague, en République tchèque, les 29 et 30 mars.