Actualités de Ruby-lang

Sortie de Ruby 1.9.3-p429

Tue, 14 May 2013 17:00:00 +0000

Ruby 1.9.3-p429 vient de sortir. Le niveau de patch p426 ne date que de quelques heures, mais il causait quelques problèmes de compilation sur certaines plateformes : il est donc recommandé de passer sur la release p429.

Par ailleurs, cette release comporte également un correctif de sécurité concernant DL / Fiddle et quelques corrections de bugs mineurs.

Pour plus de détails, consultez les tickets et le ChangeLog associés.

Téléchargement

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.tar.bz2

SIZE:   10042323 bytes
MD5:    c2b2de5ef15ea9b1aaa3152f9112af1b
SHA256: 9d8949c24cf6fe810b65fb466076708b842a3b0bac7799f79b7b6a8791dc2a70

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.tar.gz

SIZE:   12553234 bytes
MD5:    993c72f7f805a9eb453f90b0b7fe0d2b
SHA256: d192d1afc46a7ef27b9d0a3c7a67b509048984db2c38907aa82641bdf980acf4

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.zip

SIZE:   13869978 bytes
MD5:    1986f3934e61b999873d21a79d69d88d
SHA256: 8bd0ecc2dd8eec471aa44f88abdcd82f4b398e9110ca06f76eff066b653b8b90

À propos de cette release

De nombreux contributeurs, testeurs et utilisateurs m’ont aidé à produire ces correctifs et cette release, en remplissant des rapports de bugs. Je les en remercie.

Sortie de Ruby 2.0.0-p195

Tue, 14 May 2013 13:00:01 +0000

Ruby 2.0.0-p195 vient de sortir. Il s’agit du premier niveau de patch pour Ruby 2, depuis la sortie de la version 2.0.0.

Cette release contient un correctif de sécurité pour Ruby DL / Fiddle ainsi que de nombreuses corrections de bugs et des optimisations. On trouvera également quelques corrections sur la documentation.

Pour plus de détails, consultez les tickets et le ChangeLog associés. Les principales corrections de bugs sont listées ci-dessous.

Téléchargement

ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.tar.bz2

SIZE:   10807456 bytes
MD5:    2f54faea6ee1ca500632ec3c0cb59cb6
SHA256: 0be32aef7a7ab6e3708cc1d65cd3e0a99fa801597194bbedd5799c11d652eb5b

ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.tar.gz

SIZE:   13641558 bytes
MD5:    0672e5af309ae99d1703d0e96eff8ea5
SHA256: a2fe8d44eac3c27d191ca2d0ee2d871f9aed873c74491b2a8df229bfdc4e5a93

ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.zip

SIZE:   15092199 bytes
MD5:    924fe4bea72b1b258655211998631791
SHA256: 81a4dc6cc09e491d417a51e5983c4584eff849e2a186ec3affdbe5bc15cd7db5

À propos de cette release

Merci à tous les contributeurs.

Changements importants

Core - prepend

  #7841 Module#prepend now detect cyclic prepend.
  #7843 removing prepended methods causes exceptions.
  #8357 Module#prepend breaks Module's comparison operators.
  #7983 Module#prepend can't override Fixnum's operator methods.
  #8005 methods made private/protected after definition become uncallable on prepended class.
  #8025 Module#included_modules include classes when prepended.

Core - keyword arguments

  #7922 unnamed keyword rest argument cause SyntaxError.
  #7942 support define method only receive keyword arguments without paren.
  #8008 fix a bug in super with keyword arguments.
  #8236 fix a treatment of rest arguments and keyword arguments through `super'.
  #8260 non-symbol key should not treated as keyword arguments.

Core - refinements

  #7925 fix a bug of refinements with a method call super in a block.

Core - GC

  #8092 improve accuracy of GC.stat[:heap_live_num]
  #8146 avoid unnecessary heap growth.
  #8145  fix unlimited memory growth with large values of RUBY_FREE_MIN.

Core - Regexp

  #7972 Regexp POSIX space class is location sensitive.
  #7974 Regexp case-insensitive group doesn't work.
  #8023 Regexp lookbehind assertion fails with /m mode enabled
  #8001 Regexp \Z matches where it shouldn't

Core - other

  #8063 fix a potential memory violation and avoid abort on the environment _FORTIFY_SOURCE=2 (ex. Ubuntu).
  #8175 ARGF#skip doesn't work as documented.
  #8069 File.expand_path('something', '~') now support home path on Windows.
  #8220 fix a Segmentation fault when defined? ().
  #8367 fix a regression in defined?(super).
  #8283 Dir.glob doesn't recurse hidden directories.
  #8165 fix a bug of multiple require with non-ascii file path.
  #8290 fix an incompatible String#inspect behavior with NUL character.
  #8360 fix a Segmentation fault of Thread#join(Float::INFINITY) on some platforms.

RubyGems

  Bundled RubyGems version is updated to 2.0.2+
  #7698 fix an rubygems' incompatibility about installation of extension libraries.
  #8019 fix a bug of gem list --remote doesn't work.

Libraries

  #7911 File.fnmatch with US-ASCII pattern and UTF-8 path raise an exception.
  #8240 fix a bug about OpenSSL::SSL::SSLSocket breaks other connections or files on GC.
  #8183 CGI.unescapeHTML can't decode Numeric Character References with uppercase (&#Xnnnn).

Build/Platform specific

  #7830 fix build failure with compiler warning.
  #7950 fix a build failure on mswin/VC with --with-static-linked-ext.

Vulnérabilité : Object taint bypassing in DL and Fiddle in Ruby (CVE-2013-2065)

Tue, 14 May 2013 13:00:00 +0000

Les modules DL et Fiddle de Ruby comportaient une vulnérabilité mettant en œuvre une chaîne de caractère « contaminée » (tainted string, marquée avec la méthode Object#tain). Des appels systèmes pouvaient être fait en utilisant de telles chaînes de caractères, ignorant le niveau $SAFE de Ruby. Cette vulnérabilité porte l’identifiant CVE-2013-2065.

Explications et impact

Les fonctions natives exposées à Ruby via DL ou Fiddle ne vérifiaient pas la valeur du drapeau taint des objets manipulées. Cela pouvait causer des situations où des chaînes de caractères marquées comme contaminées étaient tout de même acceptées comme des données valides pour des exceptions de type SecurityError.

Un exemple de code utilisant DL illustrant cette vulnérabilité :

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys_cfunc = DL::CFunc.new(handle['system'], DL::TYPE_INT, 'system')
  sys       = DL::Function.new(sys_cfunc, [DL::TYPE_VOIDP])
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Un autre exemple, avec Fiddle :

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                          [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Tous les rubyistes utilisant une version affectée par cette vulnérabilité sont invités à mettre à jour Ruby, ou à utiliser le palliatif décrit ci-après.

Veuillez notez que le correctif n’empêche pas l’utilisation d’offset numériques, car les nombres ne peuvent être marqués par Object#taint. Dans l’exemple suivant :

def my_function(input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                          [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call input
end

$SAFE = 1
user_input = "uname -rs".taint
my_function DL::CPtr[user_input].to_i

l’adresse mémoire est utilisée sans qu’il soit possible de déterminer si elle est valide ou non. Dans ce cas, il est recommandé de vérifier l’état de la donnée en entrée avant de passer l’adresse mémoire :

user_input = "uname -rs".taint
raise if $SAFE >= 1 && user_input.tainted?
my_function DL::CPtr[user_input].to_i

Palliatif

Si vous êtes dans l’impossibilité de mettre à jour Ruby, il est tout de même possible de palier cette vulnérabilité avec le monkey patching suivant :

class Fiddle::Function
  alias :old_call :call
  def call(*args)
    if $SAFE >= 1 && args.any? { |x| x.tainted? }
      raise SecurityError, "tainted parameter not allowed"
    end
    old_call(*args)
  end
end

Versions affectées

Toutes les versions de la branche 1.9 avant la 1.9.3-p426
Toutes les versions de la branche 2.0 avant la 2.0.0-p195
Les versions de développement avant la révision 40728

La branche 1.8 n’est pas concernée.

Remerciements

Merci à Vit Ondruch pour avoir mis en lumière cette vulnérabilité.

Historique

Initialement publié le 14 mai 2013 à 13:00:00 (UTC)

Sortie de Ruby 2.0.0-p0

Mon, 25 Feb 2013 13:47:57 +0000

Nous sommes heureux d'annoncer la sortie de Ruby 2.0.0-p0 !

Cette version est la première release stable de la branche 2.0. Elle intègre de nombreuses nouvelles fonctionnalités et améliorations, pour faire face à la diversification toujours plus importante des cas d'usages de Ruby.

Nous vous souhaitons un happy hacking avec Ruby 2.0.0 !

Téléchargements

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.tar.bz2>

SIZE:   10814890 bytes
MD5:    895c1c581f8d28e8b3bb02472b2ccf6a
SHA256: c680d392ccc4901c32067576f5b474ee186def2fcd3fcbfa485739168093295f

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.tar.gz>

SIZE:   13608925 bytes
MD5:    50d307c4dc9297ae59952527be4e755d
SHA256: aff85ba5ceb70303cb7fb616f5db8b95ec47a8820116198d1c866cc4fff151ed

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.zip>

SIZE:   15037340 bytes
MD5:    db5af5d6034646ad194cbdf6e50f49ee
SHA256: 0d0af6a9c8788537efd8d7d2358ce9468e6e2b7703dacba9ebd064d8b7da5f99

Quoi de neuf dans Ruby 2.0.0 ?

Nouvelles fonctionnalités

Petit aperçu des nouveautés…

Fonctionnalités principales du langage :
- les arguments mots-clés, pour plus de flexibilité (API…)
- Module#prepend, une nouvelle façon « d'augmenter » une classe
- le litéral %i, pour créer un tableau de symboles avec une syntaxe minimale
- __dir__, pour accéder directement au nom du dossier contenant le fichier en cours d'exécution
- UTF-8 devient l'encodage par défaut (fini les commentaires « magiques » !)
Au niveau des librairies du Core :
- Enumerable#lazy et Enumerator::Lazy permettent de gérer des suites potentiellement infinies (lazy streams)
- Enumerator#size et Range#size, pour déterminer la taille par évaluation retardée (lazy evaluation)
- #to_h comme nouvelle méthode conventionnelle pour gérer la conversion vers un Hash
- Onigmo remplace Oniguruma comme moteur d'expressions régulières (c'est un fork)
- nouvelle API de gestion asynchrone des exceptions
Du côté de la chasse aux bugs
- support de DTrace, ce qui permet notamment de produire des rapports at run-time en production
- TracePoint, une meilleure API de tracing (pour l'analyse de logs)
Améliorations des performances
- optimisation du ramasse-miettes par "bitmap marking"
- optimisation de Kernel#require, ce qui permet par exemple à Ruby On Rails de démarrer très rapidement
- diverses optimisations dans la VM (routage des messages aux méthodes…)
- optimisation des opérations de calculs sur les flottants (Float)

Par ailleurs, et toujours en mode « expérimental », vous retrouverez dans cette version les Refinements.

Pour prendre connaissance de tous les détails, consultez le fichier NEWS.

Compatibilité

Nous avons pris garde à concevoir la version 2.0.0 de telle façon à ce qu'elle soit compatible avec la 1.9, à quelques détails près (seulement !). Il sera donc plus facile de migrer de la 1.9 à la 2.0 qu'il ne l'avait été pour le passage 1.8 / 1.9. Les incompatibilités principales sont décrites ci-après.

À noter que grâce au travail de nombreux collaborateurs, un certain nombre d'applications telles que Rails ou tDiary sont d'ores et déjà fonctionnelles sur cette version 2.0.0-p0 !

Documentation

Un effort important à également été produit pour améliorer la documentation, ce qui a été une demande régulière de la part de la communauté. Le volume de documentation rdoc pour les modules et les méthodes a ainsi notablement augmenté : 75% de la 2.0.0 est couvert, tandis que la 1.9.3 plafonnait vers les 60%. Par ailleurs, vous pouvez retrouver une description de la syntaxe ruby en appelant:

ri ruby:syntax

Stabilité

Contrairement à la 1.9.0, la version 2.0.0 est une release stable… bien que son numéro micro soit 0. Évidemment, nous incitons tous les mainteneurs de librairies à supporter dès que possible Ruby 2.0.0, ce qui devrait être relativement simple (cf. Compatibilité).

Pour conclure, Ruby 2.0.0 est bel et bien là, prête à vous simplifier une nouvelle fois la vie : adoptez-la !

Notes

Articles

Voici une sélection d'articles parus à l'occasion du lancement de la 2.0.0 :

<URL:http://blog.marc-andre.ca/2013/02/23/ruby-2-by-example> (exhaustif, recommandé)
<URL:https://speakerdeck.com/shyouhei/whats-new-in-ruby-2-dot-0> (exhaustif, recommandé)
<URL:http://el.jibun.atmarkit.co.jp/rails/2012/11/ruby-20-8256.html> (court, en japonais)
<URL:https://speakerdeck.com/nagachika/rubyist-enumeratorlazy> (à propos de Enumerator::Lazy, en japonais)

Les articles suivants sont également intéressants, hormis pour ce qui concerne les Refinements (il y a eu des changements depuis leurs parutions) :

La dernière édition du Rubyist Magazine propose quelques articles très intéressants écrits par les contributeurs des fonctionnalités sur lesquels ils portent :

<URL:http://jp.rubyist.net/magazine/?0041-200Special>

Ce dernier contenu est malheureusement disponible en japonais uniquement. Nous avons dans l'idée d'en faire des traductions anglaises rapidement.

Incompatibilités

Il y a cinq incompatibilités majeures connues à ce jour, par rapport à la 1.9 :

L'encodage par défaut des scripts ruby est désormais UTF-8 [#6679]. Certaines personnes ont mentionné le fait que cela affecte le fonctionnement de programmes existant, par exemple des systèmes de benchmarking qui deviennent très lents [ruby-dev:46547].
iconv a finalement été retiré, après avoir été déprécié lors de l'introduction de M17N dans ruby 1.9. Utilisez désormais String#encode et autres.
L'ABI (Application Binary Interface) connaît un changement majeur [ruby-core:48984]. A priori, une simple réinstallation des extensions doit faire l'affaire, mais soyez bien attentifs à ne pas copier les fichiers .so ou .bundle depuis une installation 1.9 ("DO NOT COPY .so OR .bundle FILES FROM 1.9"), faute de quoi Ruby ne fonctionnera pas.
#lines, #chars, #codepoints et #bytes retournent désormais un Array au lieu d'un Enumerator [#6670]. Cette modification permet d'éviter d'avoir à écrire systématiquement "lines.to_a". Pour retrouver un énumérateur, utilisez #each_line, par exemple.
Object#inspect retourne désormais toujours une chaîne de caractères, telle que #<ClassName:0x…>, au lieu de passer la main à #to_s [#2152].

Pour les incompatibilités mineures, voyez [ruby-core:49119].

À propos des Refinements

Nous avons décidé d'intégrer la nouvelle fonctionnalité appelée Refinements dans cette version. Elle étend les possibilités coté modularité des scripts Ruby. Il s'agit toutefois d'une fonctionnalité expérimentale, et sa spécification est susceptible de changer d'ici la prochaine version de Ruby. Néanmoins, nous vous encourageons à la tester, et à nous faire part de vos retours qui nous seront d'une grande aide pour la finaliser.

Remerciements

Un très grand nombre de personnes ont participé à l'élaboration de cette version. Il est rapidement devenu manifeste que même une liste partielle de remerciements serait trop longue à inclure directement dans cette actualité ! Aussi, permettez-moi de vous rediriger vers un lien spécial :

<URL:https://bugs.ruby-lang.org/projects/ruby/wiki/200SpecialThanks>

Merci à tous et à toutes !

Sortie de la version 1.9.3-p392 de Ruby

Sat, 23 Feb 2013 14:13:53 +0000

La version 1.9.3-p392 de Ruby est sortie. Nous nous excusons des mises à jour trop fréquentes.

Cette version inclut des correctifs de sécurité pour les bibliothèques intégrées JSON et REXML :

Et d'autres correctifs de bugs mineurs sont également inclus.

Voyez les tickets et le ChangeLog pour plus de détails.

Téléchargement

Vous pouvez télécharger cette nouvelle version depuis :

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.bz2>

SIZE:   10024221 bytes
MD5:    a810d64e2255179d2f334eb61fb8519c
SHA256: 5a7334dfdf62966879bf539b8a9f0b889df6f3b3824fb52a9303c3c3d3a58391

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.gz>

SIZE:   12557294 bytes
MD5:    f689a7b61379f83cbbed3c7077d83859
SHA256: 8861ddadb2cd30fb30e42122741130d12f6543c3d62d05906cd41076db70975f

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.zip>

SIZE:   13863402 bytes
MD5:    212fb3bc41257b41d1f8bfe0725916b7
SHA256: f200ce4a63ce57bea64028a507350717c2a16bdbba6d9538bc69e9e7c2177c8b

Commentaire sur cette version

De nombreux commiteurs, testeurs et utilisateurs ayant remonté des bugs ont aidé à préparer cette version. Merci pour leurs contributions.

Vulnérabilité de type Déni de service par expansion des entités dans REXML (bombe XML)

Sat, 23 Feb 2013 14:03:15 +0000

L'expansion d'entités XML sans restriction peut conduire à un déni de service dans REXML. (L'identifiant CVE sera assigné plus tard.) Nous recommandons fortement de mettre à jour Ruby.

Détails

Lors de la lecture de nœuds texte au sein d'un document XML, le parseur REXML peut être forcé à allouer des chaînes de caractères extrêmement larges, ce qui peut consommer toute la mémoire de la machine, entraînant un déni de service.

Le code concerné ressemble à ceci :

document = REXML::Document.new some_xml_doc
document.root.text

Quand la méthode `text` est appelée, les entités sont étendues. Un attaquant peut envoyer un document XML relativement petit qui, lors de cette étape, consommera d'énormes quantités de mémoire sur le système cible.

Veuillez noter que cette attaque est similaire, bien que différente, à celle de l'attaque Billion Laughs. C'est aussi en rapport avec le CVE-2013-1664 de Python.

Tous les utilisateurs d'une version concernée sont incités à mettre à jour Ruby ou utiliser l'un des contournements ci-dessous immédiatement.

Contournements

Si vous ne pouvez pas mettre à jour Ruby, utiliser ce monkey patch comme contournement :

class REXML::Document
  @@entity_expansion_text_limit = 10_240

  def self.entity_expansion_text_limit=( val )
    @@entity_expansion_text_limit = val
  end

  def self.entity_expansion_text_limit
    @@entity_expansion_text_limit
  end
end

class REXML::Text
  def self.unnormalize(string, doctype=nil, filter=nil, illegal=nil)
    sum = 0
    string.gsub( /\r\n?/, "\n" ).gsub( REFERENCE ) {
      s = self.expand($&, doctype, filter)
      if sum + s.bytesize > REXML::Document.entity_expansion_text_limit
        raise "entity expansion has grown too large"
      else
        sum += s.bytesize
      end
      s
    }
  end

  def self.expand(ref, doctype, filter)
    if ref[1] == ?#
      if ref[2] == ?x
        [ref[3...-1].to_i(16)].pack('U*')
      else
        [ref[2...-1].to_i].pack('U*')
      end
    elsif ref == '&amp;'
      '&'
    elsif filter and filter.include?( ref[1...-1] )
      ref
    elsif doctype
      doctype.entity( ref[1...-1] ) or ref
    else
      entity_value = DocType::DEFAULT_ENTITIES[ ref[1...-1] ]
      entity_value ? entity_value.value : ref
    end
  end
end

Ce monkey patch limitera la taille des remplacements d'entités à 10k par nœud. REXML n'autorise déjà que 10000 remplacements d'entités par document (valeur par défaut). Ainsi la quantité maximale de mémoire pour le texte généré par les remplacements d'entités ne sera au maximum que d'environ 98 Mo.

Les versions de Ruby concernées

Toutes les versions de Ruby 1.9 antérieures à la version 1.9.3 patchlevel 392
Toutes les versions de Ruby 2.0 antérieures à la version 2.0.0 patchlevel 0
Toutes les versions trunk avant la révision 39384

Crédits

Merci à Ben Murphy pour avoir remonté cette vulnérabilité.

Historique

Publié initialement à 2013-02-22 12:00:00 (UTC)

Déni de service et vulnérabilité de création d'objets non-sûrs (CVE-2013-0269)

Sat, 23 Feb 2013 13:37:53 +0000

Il existe une vulnérabilité dans la bibliothèque JSON embarquée avec Ruby qui peut causer des dénis de service et la création d'objets non-sûrs. Cette vulnérabilité a reçu l'assignation CVE-2013-0269. Nous vous encourageons très fortement à mettre à jour Ruby.

Détails

Lors de l'analyse de certains documents JSON, la gem JSON (inclue avec ruby) peut être forcée à créer des symboles Ruby dans le système cible. Comme les symboles Ruby ne sont pas libérés de la mémoire par le ramasse-miettes, cela peut résulter en une attaque par déni de service.

La même technique peut être utilisée pour créer des objets dans le système cible qui se comporteront comme des objets internes. Ces objets « qui se comportent de façon similaire » peuvent être utilisés pour contourner certains mécanismes de sécurité et servir de tremplin pour des attaques par injection SQL dans Ruby on Rails.

Le code visé ressemble à ceci :

JSON.parse(user_input)

Où la variable `user_input` contient un document JSON comme celui-ci :

{"json_class":"foo"}

La gem JSON va essayer de récupérer la constante "foo" et, ce faisant, va créer un symbole.

Dans la version 1.7.x de JSON, des objets avec des attributs arbitraires peuvent être créés. Cela peut, par exemple, être fait avec un document JSON tel que celui-ci :

{"json_class":"JSON::GenericObject","foo":"bar"}

Ce document sera transformé en une instance de JSON::GenericObject, avec l'attribut "foo" qui aura pour valeur "bar". L'instanciation de tels objets permet la création de symboles arbitraires et, dans certains cas, peut être utilisée pour contourner des mesures de sécurité.

IMPORTANT : ce comportement ne change pas avec l'utilisation de `JSON.load`. `JSON.load` ne doit jamais être utilisé avec des données provenant de sources inconnues. Si vous traitez des documents JSON provenant d'une source inconnue, utiliser toujours `JSON.parse`.

Tous les utilisateurs d'une version de Ruby concernée par ce problème sont encouragés à mettre à jour ou à utiliser un des contournements ci-dessous immédiatement.

Contournements

Pour les utilisateurs pour lesquels une mise à jour de Ruby ou de la gem JSON n'est pas possible, remplacez dans votre code :

JSON.parse(json)

par ceci :

JSON.parse(json, :create_additions => false)

If you cannot change the usage of `JSON.parse` (for example you're using a gem which depends on `JSON.parse` like multi_json), then apply this monkey patch: Si vous ne pouvez modifier l'utilisation de `JSON.parse` (par exemple, si cet appel est fait dans une gem externe comme multi_json), alors appliquez ce monkey patch :

module JSON
  class << self
    alias :old_parse :parse
    def parse(json, args = {})
      args[:create_additions] = false
      old_parse(json, args)
    end
  end
end

Les versions de Ruby concernées

Toutes les versions de Ruby 1.9 antérieures à Ruby 1.9.3 patchlevel 392
Toutes les versions de Ruby 2.0 antérieures à Ruby 2.0.0 patchlevel 0
Toutes les versions trunk avant la révision 39208

Crédits

Un énorme merci va pour les personnes suivantes pour avoir remonté de façon responsable cette vulnérabilité et avoir travaillé avec l'équipe Rails pour la corriger:

Thomas Hollstegge of Zweitag (www.zweitag.de)
Ben Murphy

Historique

Publié originalement à 2013-02-22 12:00:00 (UTC)

Speakers recherchés pour la Barcelona Ruby Conference

Sat, 16 Feb 2013 16:45:43 +0000

La Barcelona Ruby Conference se tiendra en Catalogne les 14 et 15 septembre. De nombreux intervenants connus et reconnus seront présents : Aaron Patterson (contributeur à Rails et Ruby), David Chelimsky (auteur du RSpec book, contributeur à RSpec), Charles Nutter (mainteneur de JRuby), Sandi Metz (auteur de Practical Object-Oriented Design in Ruby) ou encore Yukihiro Matz (le Créateur).

L'appel à communication est lancé: soumissions attendues avant le 10 mars. Les 4 meilleures seront retenues. Chacun des lauréats de ce mini-concours verra son entrée à la conférence et son hébergement offerts et gérés par les organisateurs. Tous les détails sur le site web !

Les Ruby Hero Awards, édition 2013

Sat, 16 Feb 2013 11:58:45 +0000

Un nouvel opus des Ruby Hero Awards débute ! Les nominations sont d'ores et déjà acceptées, et les organisateurs comptent sur vous pour dénicher de nouveaux talents au sein de la communauté… notamment celles et ceux qui n'ont pas encore reçus toute l'attention méritée. Profil typique : une personne qui contribue à l'écosystème open-source Ruby de façon particulièrement utile (au moins selon vous…), un mentor, un organisateur de conférences ou ateliers…

Si vous avez une idée en tête, proposer un nom sur RubyHeroes.com ne vous prendra pas plus d'une minute : indiquez un pseudo github et expliquez en quelques mots les raisons de votre choix. Dans environ un mois, les lauréats des années précédentes se concerteront pour désigner leurs six nouveaux héros, lesquels seront révélés au monde lors de la RailsConf, fin avril.

Sortie de Ruby 2.0.0-rc2

Mon, 11 Feb 2013 08:45:25 +0000

Ruby 2.0.0-rc2 est disponible ! Il s'agit de la dernière release candidate avant la version 2.0.0.

N'hésitez pas à la tester et à rapporter tout problème rencontré.

Téléchargement

Vous pouvez obtenir cette version depuis :

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-rc2.tar.bz2>

SIZE:   10822239 bytes
MD5:    e92420131bd7994513e0bf09a3e2a19b
SHA256: d55f897bb04283c5fa80223d96d990fe8ecb598508dd59443b356cbba1f66145

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-rc2.tar.gz>

SIZE:   13616756 bytes
MD5:    9d5e6f26db7c8c3ddefc81fdb19bd41a
SHA256: 87072ab3e6d393d47f7402682364e4f24efe1c518969795cc01fcdeeb0e646f3

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-rc2.zip>

SIZE:   15118480 bytes
MD5:    1a2d33f1c50e32ca1532f8dea4790d53
SHA256: c28e9baf3aa00b41b8823c16df436ae143e8a63e43e7a53302f23119e13d0ebf

Nouvelles fonctionnalités de Ruby 2.0.0

arguments « mots-clé »
Enumerable#lazy
Module#prepend
#to_h: convention pour la conversion vers un Hash
%i: un literal pour produire un tableau de symboles (à l'instar de %s pour les chaînes de caractères)
Moteur d'expression régulière mis à jour : Onigmo (un fork d'Oniguruma)
Enumerator#size et Range#size font leur apparition
support de DTrace
TracePoint
de meilleurs performances pour la directive require (en particulier sous Windows)
support de NativeClient
amélioration générale de la documentation
meilleure gestion des interruptions asynchrones
apparition de paramètres pour modifier la taille du stack de démarrage
Refinements (expérimental !)

… et bien plus encore. Voir le fichiers NEWS pour tous les détails.

Voici quelques articles sur ces différents sujets récemment publiés :

<URL:https://speakerdeck.com/a_matsuda/ruby-2-dot-0-on-rails>
<URL:http://globaldev.co.uk/2012/11/ruby-2-0-0-preview-features/>
<URL:http://www.infoq.com/news/2012/11/ruby-20-preview1>
<URL:http://timelessrepo.com/refinements-in-ruby> (Refinements)
<URL:http://el.jibun.atmarkit.co.jp/rails/2012/11/ruby-20-8256.html> (en japonais)
<URL:https://speakerdeck.com/nagachika/rubyist-enumeratorlazy> (Enumerator::Lazy, en japonais)

S'il vous prend l'envie d'écrire un article, prévenez-nous pour qu'il soit cité dans la prochaine actualité.

Notes

Incompatibilités

Il en existe à notre connaissance trois principales :

L'encodage par défaut des scripts ruby est désormais UTF-8 [#6679]. Certaines personnes ont mentionné le fait que cela affecte le fonctionnement de programmes existant, par exemple des systèmes de benchmarking qui deviennent très lents [ruby-dev:46547]. La spécification pourrait de ce fait encore évoluer d'ici la release finale.
iconv a finalement été retiré, après avoir été déprécié lors de l'introduction de M17N dans ruby 1.9. Utilisez désormais String#encode et autres.
L'ABI (Application Binary Interface) connaît un changement majeur [ruby-core:48984]. A priori, une simple réinstallation des extensions doit faire l'affaire, mais soyez bien attentifs à ne pas copier les fichiers .so ou .bundle depuis une installation 1.9 ("DO NOT COPY .so OR .bundle FILES FROM 1.9"), faute de quoi Ruby ne fonctionnera pas.

Il existe par ailleurs quelques incompatibilités mineurs, voir [ruby-core:49119]. Merci de rapporter tout autre problème de ce type d'ici la release.

Bon à savoir : nous avons créé des notes de mise-à-jour, bien qu'une partie d'entre elles soient déjà dépassées.

<URL:https://bugs.ruby-lang.org/projects/ruby/wiki/200UpgradeNotesDraft>

À propose des Refinements

Ruby 2.0.0 apportera les Refinements en tant que « fonctionnalité expérimentale », faute d'un accord final sur leur spécification.

Notez donc que leur comportement pourrait changer dans les prochaines versions.

Remerciements spéciaux

Merci à tous ceux et celles qui ont testé les preview et release candidates ! Je suis très honoré du travail acharné de tous ces contributeurs pour résoudre les bugs : je vous remercie tous chaleureusement.