Actualités de Ruby-lang

Vulnérabilité WEBrick par injection d'une séquence d'échappement

Sun, 10 Jan 2010 18:47:41 GMT

Une vulnérabilité a été découverte dans le module WEBRick, qui fait partie de la bibliothèque standard. Elle permet à des tiers malveillants d'injecter des séquences d'échappement vers les logs de WEBRick, en vue notamment de l'exécution de caractères de contrôles dangereux au sein d'un terminal utilisateur.

Un fix a d'ores et déjà été produit pour contrer cette faille. De nouvelles versions intégrant le patch seront produites sous peu. [màj : solutions disponibles dans la suite de cette news]

Description détaillée

Les séquences d'échappement de terminaison sont utilisées pour autoriser un certain nombre d'interactions entre le terminal d'exécution des processus et ces derniers. Un problème classique réside dans le fait qu'a priori, ces séquences ne sont pas censées être produites par une ressource non autorisée du point de vue du terminal, du type réseau tiers (internet…). Jusqu'alors, WEBRick ne filtrait pas les séquences d'échappement en se basant sur cette approche standard, de sorte que la protection des logs était faible. Un attaquant distant pouvait mettre à profit certaines faiblesses bien connues des terminaux en injectant dans les logs WEBRick des séquences d'échappement bien placées, en vue de leur exécution dans un terminal client.

Exemple, avec une version non patchée de WEBRick :

% xterm -e ruby -rwebrick -e 'WEBrick::HTTPServer.new(:Port=>8080).start' &
% wget http://localhost:8080/%1b%5d%32%3b%6f%77%6e%65%64%07%0a

Regardez le titre de la fenêtre xterm.

Versions concernées

Ruby 1.8.6 patchlevel 383 et toutes les versions précédentes
Ruby 1.8.7 patchlevel 248 et toutes les versions précédentes
Versions de développement de Ruby 1.8 (1.8.8dev)
Ruby 1.9.1 patchlevel 376 et toutes les versions précédentes
Versions de développement de Ruby 1.9 (1.9.2dev)

Solutions

Des fixs pour les versions 1.8.6, 1.8.7 et 1.9.1 suivront bientôt cette annonce.
- Mise-à-jour 1.8.7 pl. 249 règle le problème pour la brache 1.8. Les utilisateurs de la version 1.8.7 sont encouragés à appliquer le patch.
- Mise-à-jour 1.9.1 pl. 378 règle le problème pour la branche 1.9. Les utilisateurs de la version 1.9.1 sont encouragés à appliquer le patch.
Pour ce qui est des versions de développement, une mise-à-jour vers la révision la plus récente règle le problème.

Sources

Merci à Giovanni "evilaliv3" Pellerano, Alessandro "jekil" Tanasi et Francesco "ascii" Ongaro pur la découvert de cette vulnérabilité.

Sortie de Ruby 1.8.7-p248

Sun, 10 Jan 2010 18:10:31 GMT

Avec un peu de retard sur l'actualité, voici une série de patchs pour plusieurs bugs de diverses natures sur la branche 1.8.7. Merci à Urabe Shyouhei.

Pour les détails, voyez le ChangeLog.

Checksums :

MD5(ruby-1.8.7-p248.tar.gz)= 60a65374689ac8b90be54ca9c61c48e3
SHA256(ruby-1.8.7-p248.tar.gz)= 5c9cd617a2ec6b40abd7c7bdfce3256888134482b22f933a061ae18fb4b48755
SIZE(ruby-1.8.7-p248.tar.gz)= 4831010

MD5(ruby-1.8.7-p248.tar.bz2)= 37e19d46b7d4b845f57d3389084b94a6
SHA256(ruby-1.8.7-p248.tar.bz2)= 3d238c4cf0988797d33169ab05829f1a483194e7cacae4232f3a0e2cc01b6bfc
SIZE(ruby-1.8.7-p248.tar.bz2)= 4153123

MD5(ruby-1.8.7-p248.zip)= 819b9db9bcd4aa9a70f1193380a318c9
SHA256(ruby-1.8.7-p248.zip)= c133ecf35d5509e61443db05c9691bea6c6f63b87600a452b742014767bd98b3
SIZE(ruby-1.8.7-p248.zip)= 5889980

Ouverture des propositions pour RubyConf 2009

Sun, 09 Aug 2009 10:27:58 GMT

Les propositions de conférences (Call for Proposals) pour RubyConf 2009 sont désormais acceptées, et ce jusqu’au 21 août 2009. Pour formuler une proposition, vous devez vous créer un compte sur rubyconf.org.

RubyConf 2009 aura lieu les 19, 20 et 21 novembre 2009 au Embassy Suites Hotel du San Francisco Airport, en Californie (USA). Plus de détails sur le site officiel.

Sortie de Ruby 1.9.2 preview 1

Mon, 20 Jul 2009 15:41:27 GMT

Ruby 1.9.2 preview 1 vient de sortir.

Il s'agit d'une pré-version pour la série 1.9.2, en somme un snapshot de la branche de développement actuelle. À ce titre, il existe encore des bugs qui rendent cette version instable. N'hésitez pas à participer à leur résolution. Au programme :

L'aspect objet de l'API Socket a été renforcé.
Le module Time a été réécrit et amélioré : les valeurs minimale et maximale ont disparues, et le problème de l'an 2038 pour les dates (Unix Millennium bug) n'en est plus un.
Ajout d'une nouvelle classe Random pour la génération de séquences aléatoires de nombres.
Pour les utilisateurs de merb : Method#parameters fait son apparition.

Voyez le fichier NEWS et le ChangeLog pour plus de détails.

Télécharger

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-preview1.tar.bz2>

TAILLE

7487008 bytes

MD5

0b8f27ea78afcdc54d5d23e569aa0150

SHA256

0681204e52207153250da80b3cc46812f94107807458a7d64b17554b6df71120
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-preview1.tar.gz>

TAILLE

9422226 bytes

MD5

e2b8cdbf300f53472be09699a5837fd1

SHA256

7f29ab3b1d5f0074bb82a6bf398f1cacd42fe508a17fc14844560c4d906786b6
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-preview1.zip>

TAILLE

10741739 bytes

MD5

253b5845e4b0f8250ae79c328b94e049

SHA256

cb132277476856535ee31e85929a3041877b0912868b7f64d1cf911a79463cdf

Sortie de Ruby 1.9.1-p243

Mon, 20 Jul 2009 15:34:19 GMT

La version 1.9.1-p243 de Ruby est maintenant disponible.

Il s'agit d'un ensemble de patchs pour la série 1.9.1, avec plusieurs résolutions de bugs. Voyez le ChangeLog pour les détails.

Télécharger

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p243.tar.bz2>

TAILLE

7191348 bytes

MD5

66d4f8403d13623051091347764881a0

SHA256

39c9850841c0dd5d368f96b854f97c19b21eb28a02200f8b4e151f608092e687
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p243.tar.gz>

TAILLE

9043825 bytes

MD5

515bfd965814e718c0943abf3dde5494

SHA256

31598e37b3962643bec722921644957be6f8fb9a26f6c91fa627bd668ea68be4
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p243.zip>

TAILLE

10307868 bytes

MD5

7086675f78185d72719132231b810e4d

SHA256

68a9847299269c5251dc61f7aad8482ab6022a6b1be13635d607fb593208b226

Vulnérabilité de type DoS dans la librairie BigDecimal

Wed, 10 Jun 2009 00:09:21 GMT

Une faille du type déni de service (DoS) a été révélée dans la librairie standard BigDecimal. La conversion des objets BigDecimal en Float ouvrait la voie à des erreurs de segmentations volontaires.

ActiveRecord se base sur cette classe, aussi la plupart des applications Rails sont elles touchées par ce bug, mais ce n'est pas une faille exclusive à Rails.

Description

Un attaquant peut provoquer un DOS en forçant BigDecimal à scanner un nombre immense, du type :

BigDecimal("9E69999999").to_s("F")

Versions touchées

branche 1.8

1.8.6-p368 et toutes les versions précédentes
1.8.7-p160 et toutes les versions précédentes

branche 1.9

Aucune des versions 1.9.1 n'est affectée

Solution

branche 1.8

Une mise à jour vers 1.8.6-p369 ou ruby-1.8.7-p173 règle le problème.

Engine Yard assurera le maintien de Ruby 1.8.6

Sat, 23 May 2009 21:52:04 GMT

Après un petit délai de mise en route interne, l'équipe de développement de Ruby a officiellement annoncé que le maintien de la branche 1.8.6 ne serait plus assurée par Urabe Shyouhei, mais par Kirk Haines, d'Engine Yard.

Cette branche a été lancée en 2007. Depuis lors, l'équipe de ruby-core a fourni du support, notamment par le traitement des bugs rapportés et par la communication d'alertes de sécurité. Ruby 1.8.6 a été un succès, si bien que ses utilisateurs ont manifesté le souhait que ce support perdure, au-delà des dates prévues en interne. Avec un accord de principe, restait à savoir qui allait s'en occuper. Engine Yard s'est proposée et il a été décidé de leur transférer les accès appropriés.

Du point de vue des utilisateurs, cette annonce officielle n'introduit aucun changement… si ce n'est que les fix et les mises-à-jour devraient sortir à un rythme un peu plus rapide.

Sortie de Ruby 1.9.1-p129

Thu, 14 May 2009 07:13:54 GMT

La version 1.9.1-p129 de Ruby est sortie.

Il s'agit d'un ensemble de correctifs pour Ruby 1.9.1 qui couvrent de nombreux bugs et deux vulnérabilités. À ce titre, il est recommandé d'installer cette mise-à-jour.

Téléchargement

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.tar.bz2>

SIZE:   7183891 bytes
MD5:    6fa62b20f72da471195830dec4eb2013
SHA256: cb730f035aec0e3ac104d23d27a79aa9625fdeb115dae2295de65355f449ce27

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.tar.gz>

SIZE:   9034947 bytes
MD5:    c71f413514ee6341c627be2957023a5c
SHA256: 27b7a8ace1d17cec237020ae9355230b53f8c3875f8d942de903e7d58d14253b

<URL:http://ftp.ruby-lang.org/pub/ruby/ruby-1.9.1-p129.zip>

SIZE:   10299369 bytes
MD5:    156305e9633758eb60b419fabc33b6e4
SHA256: 6cbf0eda4ba0afedd8f0bd320e6a14f826149ef517d8bb967149af0558b0743b

À propos des vulnérabilités corrigées

DL::Function#call could pass tainted arguments to a C function even if

$SAFE > 0.

DL::dlopen could open a library with tainted library name even if

$SAFE > 0

Sortie de Ruby 1.8.7-p160 et 1.8.6-p368

Sat, 02 May 2009 10:36:06 GMT

Des mises à jour aux releases Ruby 1.8.7 et 1.8.6 sont disponibles.

Plusieurs douzaines de bugs résolus, notamment pour CVE-2007-1558 et CVE-2008-1447, ainsi que des segfaults. Plus de détails dans les changelogs.

Les archives :

Checksums :

MD5(ruby-1.8.6-p368.tar.gz)= 508bf1911173ac43e4e6c31d9dc36b8f
SHA256(ruby-1.8.6-p368.tar.gz)= cc8cad3edd02d8c2de3c63a7d8a5cb85af39766dd47360a9c0f26339b101e2a0
SIZE(ruby-1.8.6-p368.tar.gz)= 4602095

MD5(ruby-1.8.6-p368.tar.bz2)= 623447c6d8c973193aae565a5538ccfc
SHA256(ruby-1.8.6-p368.tar.bz2)= 1bd398a125040261f8e9e74289277c82063aae174ada9f300d2bea0a42ccdcc1
SIZE(ruby-1.8.6-p368.tar.bz2)= 3967709

MD5(ruby-1.8.6-p368.zip)= 3d301a4b1aded1922570585bbece2c29
SHA256(ruby-1.8.6-p368.zip)= 8ba4bfd14d2914bfe2c18ffa9da084234be978fd0eee654f7a5c732a1beb0246
SIZE(ruby-1.8.6-p368.zip)= 5619494

MD5(ruby-1.8.7-p160.tar.gz)= 945398f97e2de6dd8ab6df68d10bb1a1
SHA256(ruby-1.8.7-p160.tar.gz)= 47c3d1ae6b3dbda230d04f258304516fc1da571fa757d5e1d8d0104b49045530
SIZE(ruby-1.8.7-p160.tar.gz)= 4818817

MD5(ruby-1.8.7-p160.tar.bz2)= f8ddb886b8a81cf005f53e9a9541091d
SHA256(ruby-1.8.7-p160.tar.bz2)= e524a086212d2142c03eb6b82cd602adcac9dcf8bf60049e89aa4ca69864984d
SIZE(ruby-1.8.7-p160.tar.bz2)= 4137518

MD5(ruby-1.8.7-p160.zip)= 06319bafa225df47fe26dfb52bc174a7
SHA256(ruby-1.8.7-p160.zip)= c56fefbb9e7e186bf9feeb864793ad2a53062ce871b47ab0170316e38f738995
SIZE(ruby-1.8.7-p160.zip)= 5876269

Les changelogs sont compris dans ces archives, ou disponibles directement via :

Sortie de Ruby 1.9.1

Mon, 02 Feb 2009 11:24:04 GMT

La version 1.9.1 de Ruby est sortie. Il s’agit de la première version stable de la branche 1.9, qui correspond à la branche active de développement du langage : plus moderne, plus rapide, apportant une syntaxe simplifiée, un excellent support des langues, bref, un meilleur Ruby.

La branche 1.8 a été initiée en 2003 et a permis le développement de très nombreux produits. C’est maintenant au tour des 1.9.x de prendre le relai, mais les 1.8.x sont pour le moment toujours en activité — la version 1.8.8 sortira courant 2009.

Vous pouvez prendre connaissance des changements majeurs intervenus depuis la version 1.8.7 dans ce document

Depuis la 1.9.1 RC2, sept bugs ont été corrigés.

Si vous tombez sur un os ou tout autre problème, pensez à poster un rapport de bug sur le tracker officiel.

Téléchargement

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.tar.bz2
TAILLE : 7190271 bytes

MD5 : 0278610ec3f895ece688de703d99143e

SHA256 : de7d33aeabdba123404c21230142299ac1de88c944c9f3215b816e824dd33321

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.tar.gz
TAILLE : 9025004 bytes

MD5 : 50e4f381ce68c6de72bace6d75f0135b

SHA256 : a5485951823c8c22ddf6100fc9e10c7bfc85fb5a4483844033cee0fad9e292cc

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p0.zip
TAILLE : 10273609 bytes

MD5 : 3377d43b041877cda108e243c6b7f436

SHA256 : 00562fce4108e5c6024c4152f943eaa7dcc8cf97d5c449ac102673a0d5c1943b