Actualités de Ruby-lang

Sortie de Ruby 1.9.3-p0

Mon, 31 Oct 2011 10:24:32 GMT

Ruby 1.9.3-p0 est sorti. C'est la version stable la plus récente de la série 1.9.

Voyez les fichiers ChangeLog et NEWS pour plus d'informations sur les changements apportés par cette version.

Téléchargements

<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p0.tar.bz2>

SIZE: 9554576 bytes

MD5: 65401fb3194cdccd6c1175ab29b8fdb8

SHA256: ca8ba4e564fc5f98b210a5784e43dfffef9471222849e46f8e848b37e9f38acf
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p0.tar.gz>

SIZE: 12223217 bytes

MD5: 8e2fef56185cfbaf29d0c8329fc77c05

SHA256: 3b910042e3561f4296fd95d96bf30322e53eecf083992e5042a7680698cfa34e
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p0.zip>

SIZE: 13691314 bytes

MD5: 437ac529a7872c8dcc956eab8e7e6f76

SHA256: 1be16d0172e9cf9e5078a7bee2465a9f3af431920e1e3d9417a4fc2ee074bca4

Les plans pour Ruby 1.8.7

Thu, 06 Oct 2011 11:55:16 GMT

Bonjour à vous qui suivez l'actualité de Ruby, et merci pour votre implication dans notre communauté.

Je sais qu'une grande partie d'entre vous utilise la version 1.8.7 de Ruby. Cette version, sortie en 2008, était alors la version la plus avancée. Je suis fier de pouvoir dire que ce n'est définitivement plus le cas. Les développeurs core de Ruby ont travaillé sur la nouvelle version, Ruby 1.9, et sont sur le point de sortir la version 1.9.3. J'utilise Ruby 1.9 depuis des années et je ne pourrais décemment pas revenir en arrière : des fonctionnalités avancées, une exécution plus rapide, RubyGems intégré, Rails qui fonctionne parfaitement… le résultat est tout simplement magnifique. Aussi, s'il vous plaît : passez à Ruby 1.9 !

Toutefois, je sais que vous ne pouvez pas nécessairement faire la transition vers Ruby 1.9 tout de suite, pour diverses raisons. Peut-être avez-vous des applications déjà déployées avec 1.8.7, ou bien utilisez des bibliothèques provenant de sources tierces qui ne fonctionnent qu'avec Ruby 1.8.7. Peut-être que votre distribution Linux ne prend en charge que Ruby 1.8.7. Pour donner de la visibilité pour tous ces cas de figure, je souhaite annoncer précisément pour combien de temps vous allez pouvoir utiliser Ruby 1.8.7. L'idée générale étant que, s'il est tout à fait possible d'utiliser 1.8.7 en production aujourd'hui, ce ne sera plus le cas dans quelque temps.

Voici l'agenda :

Nous continuerons de fournir une maintenance normale pour 1.8.7 jusqu'à juin 2012. Vous pouvez donc partir du principe que nous fournirons des correctifs de bugs, et qu'aucune incompatibilité ne sera introduite.
Après cela (à partir de juin 2012), nous arrêterons les correctifs de bugs. Nous fournirons encore des correctifs de sécurité jusqu'à juin 2013, au cas où vous utiliseriez toujours 1.8.7.
Nous ne supporterons plus 1.8.7, de quelque manière que ce soit, après juin 2013.

Sortie de Ruby 1.9.3 rc1

Sun, 25 Sep 2011 14:46:55 GMT

Ruby 1.9.3 rc1 est sorti. C'est le second aperçu de ce que sera cette nouvelle version, et elle contient encore quelques bugs connus. Ceux-ci seront corrigés dans la sortie de Ruby 1.9.3-p0.

Voyez le ChangeLog et NEWS pour plus d'informations sur les changements.

Locations

<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-rc1.tar.bz2>

SIZE: 9552727 bytes

MD5: 26f0dc51ad981e12c58b48380112fa4d

SHA256: 951a8810086abca0e200f81767a518ee2730d6dc9b0cc2c7e3587dcfc3bf5fc8
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-rc1.tar.gz>

SIZE: 12224459 bytes

MD5: 46a2a481536ca0ca0b80ad2b091df68e

SHA256: bb1ae474d30e8681df89599520e766270c8e16450efdc01e099810f5e401eb94
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-rc1.zip>

SIZE: 13696517 bytes

MD5: 9c787f5e4963e54d1a11985a73467342

SHA256: 8e9219b7e6f78a9e171740cbbb3787047383c281c290504dd0e4d8318607a74b

ConFoo 2012

Thu, 11 Aug 2011 15:26:13 GMT

ConFoo 2012 est une conférence généraliste qui se tiendra à Montréal du 29 février au 2 mars 2012, à l'hôtel Hilton Bonaventure. Les quelques jours précédents l'évènement, des ateliers seront également organisés. L'appel aux conférenciers est ouvert jusqu'au 2 septembre 2011. La session 2012 est dédiée au développement logiciel, à la gestion de projets et à une couverture des « bonnes pratique » associées.

Le volet technique couvrira différents aspects du développement Web pour les technologies Ruby, PHP, Python, .NET et Java, à travers les thèmes de la sécurité, des CMS, frameworks, bases de données, standards, développement mobile, l'accessibilité, l'architecture.

Le volet gestion et bonnes pratiques sera centrée sur la gestion de projets, les méthodes agiles, le SEO, l'analyse marketing Web, les réseaux sociaux, ainsi que les start-ups.

Visitez ConFoo.ca pour plus de détails et soumettre vos propositions de conférences.

Sortie de Ruby 1.9.3 preview1

Wed, 03 Aug 2011 09:21:13 GMT

Ruby 1.9.3 preview1 vient de sortir. Il s'agit du premier aperçu de la prochaine version de Ruby, il subsiste donc encore quelques problèmes mineurs qui seront corrigés pour la prochaine release, Ruby 1.9.3-p0.

Voyez le ChangeLog et le fichier NEWS pour plus de détails.

Ruby Inside a publié une revue de détail de cette preview.

Téléchargements

<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-preview1.tar.bz2>

SIZE: 9507455 bytes

MD5: 7d93dc773c5824f05c6e6630d8c4bf9b

SHA256: a15d7924d74a45ffe48d5421c5fc4ff83b7009676054fa5952b890711afef6fc
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-preview1.tar.gz>

SIZE: 12186410 bytes

MD5: 0f0220be4cc7c51a82c1bd8f6a0969f3

SHA256: 75c2dd57cabd67d8078a61db4ae86b22dc6f262b84460e5b95a0d8a327b36642
<URL:http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-preview1.zip>

SIZE: 13696708 bytes

MD5: 960e08b2dc866c9987f17d0480de63a1

SHA256: 249483f88156b4ae65cd45742c6f6316660f793b78739657596c63b86f76aaeb

Nouveautés

Les précédentes versions de Ruby étaient publiées sous une double licence GPLv2 et Ruby License. Désormais, Ruby sera publié sous double licence Ruby License et « 2-clause BSDL » (une version simplifiée de la licence BSD).

Encodage

SJIS changed to alias for Windows-31J, instead of Shift_JIS.

Librairie standard

io/console: ajout de fonctionnalités IO sur les instances.
openssl, réécriture
test/unit: ajout du support des tests parallèles

Autres changements

Les modules Pathname et Date ont été réimplémentés.
Modification relatives au VM locking.

Sortie de Ruby 1.9.2-p290

Sat, 16 Jul 2011 10:57:36 GMT

La version 1.9.2-p290 de Ruby est sortie. Elle corrige de nombreux bugs mais n'inclut aucun correctif de sécurité. Nous vous invitons à consulter le ChangeLog pour les détails.

Checksums:

MD5(ruby-1.9.2-p290.tar.bz2)= 096758c3e853b839dc980b183227b182
SHA256(ruby-1.9.2-p290.tar.bz2)= 403b3093fbe8a08dc69c269753b8c6e7bd8f87fb79a7dd7d676913efe7642487
SIZE(ruby-1.9.2-p290.tar.bz2)= 8811237

MD5(ruby-1.9.2-p290.tar.gz)= 604da71839a6ae02b5b5b5e1b792d5eb
SHA256(ruby-1.9.2-p290.tar.gz)= 1cc817575c4944d3d78959024320ed1d5b7c2b4931a855772dacad7c3f6ebd7e
SIZE(ruby-1.9.2-p290.tar.gz)= 11182217

MD5(ruby-1.9.2-p290.zip)= 6060b410aa15d09ac13b93033b8b5c66
SHA256(ruby-1.9.2-p290.zip)= bce3d1c8c78fbafb6a0d67df2b8dec5322301f7b4b0f7594656ad689e9cb461d
SIZE(ruby-1.9.2-p290.zip)= 12600100

Sortie de Ruby 1.8.7-p352

Sat, 02 Jul 2011 11:53:27 GMT

Ruby 1.8.7 est sorti le 1er juin 2008. En commémoration du 3ème anniversaire de Ruby 1.8.7, nous avons la publication d'une nouvelle version de niveau patch. Elle inclut plusieurs corrections de bugs. Pour le détail, nous vous invitons à consulter le ChangeLog.

Checksums:

MD5(ruby-1.8.7-p352.tar.gz)= 0c33f663a10a540ea65677bb755e57a7
SHA256(ruby-1.8.7-p352.tar.gz)= 2325b9f9ab2af663469d057c6a1ef59d914a649808e9f6d1a4877c8973c2dad0
SIZE(ruby-1.8.7-p352.tar.gz)= 4894181

MD5(ruby-1.8.7-p352.tar.bz2)= 0c61ea41d1b1183b219b9afe97f18f52
SHA256(ruby-1.8.7-p352.tar.bz2)= 9df4e9108387f7d24a6ab8950984d0c0f8cdbc1dad63194e744f1a176d1c5576
SIZE(ruby-1.8.7-p352.tar.bz2)= 4207576

MD5(ruby-1.8.7-p352.zip)= 6f745837e50a86fe0c924dccfa65b4ec
SHA256(ruby-1.8.7-p352.zip)= 24fd9eb8734fd81a51806d16bf3a5624e87a58b877a9a9affb1f6c6158cad5c9
SIZE(ruby-1.8.7-p352.zip)= 5993612

Merci pour tous les efforts que vous avez fournis sur ces trois années.

Les méthodes d'exception peuvent outrepasser $SAFE

Mon, 07 Mar 2011 13:17:57 GMT

Exception#to_s peut être utilisée pour contourner les vérifications liées à $SAFE, ce qui permet à de modifier toute chaîne de caractères.

Description du problème

Ruby met à disposition un flag numérique $SAFE, dont le niveau 4 signifie l'autorisation d'exécuter du code tiers (par exemple, un plugin). Les niveaux supérieurs font des vérifications supplémentaires pour empêcher ce comportement et protéger les données internes.

Exception#to_s comporte une vulnérabilité qui permet de contourner ces vérifications, ce qui rend possible la corruption de chaîne de caractères pure. Un exemple du mécanisme serait le suivant :

$secret_path = "foo"

proc do
    $SAFE = 4
    Exception.new($secret_path).to_s
    $secret_path.replace "/etc/passwd"
end.call

open($secret_path) do
  ...
end

Versions touchées

Cette vulnérabilité ne touche pas les branches 1.9.x. Les versions affectées sont :

Ruby 1.8.6 patchlevel 420 et toutes les versions précédentes
Ruby 1.8.7 patchlevel 330 et toutes les versions précédentes
Les versions de développement de Ruby 1.8 (1.8.8dev)

Solutions

Les utilisateurs concernés sont encouragés à mettre à jour leur installation de Ruby.

Mises-à-jour

1.8.7-334 corrige cette faille. Les utilisateurs de la branche 1.8.7 sont invités à l'installer.

Vulnérabilité du type symlink race dans FileUtils

Mon, 07 Mar 2011 13:06:24 GMT

Une faille de sécurité lié à une vulnérabilité du type symlink race a été découverte dans FileUtils.remove_entry_secure. Elle permet à des utilisateurs locaux de détruire des dossiers et fichiers.

Versions touchées

Ruby 1.8.6 patchlevel 420 et toutes les versions précédentes
Ruby 1.8.7 patchlevel 330 et toutes les versions précédentes
Versions de développement de Ruby 1.8 (1.8.8dev)
Ruby 1.9.1 patchlevel 430 et toutes les versions précédentes
Ruby 1.9.2 patchlevel 136 et toutes les versions précédentes
Versions de développement de Ruby 1.9 (1.9.3dev)

Solutions

Le problème a été corrigé. Tous les utilisateurs concernés sont encouragés à mettre à jour leur installation de Ruby.

Il faut toutefois noter que ce type de vulnérabilité ne peut être évité dans le cas où un dossier parent du dossier courant est détenu par quelqu'un en qui vous ne pouvez avoir confiance. Pour rester dans un cas totalement sécurisé, il faut vous assurer qu'aucun des dossiers parents ne peut être déplacé/modifié par quelqu'un de suspect.

Mises-à-jour

1.8.7-334 corrige cette faille. Les utilisateurs de la branche 1.8.7 sont invités à installer cette version.
1.9.1-p431 corrige cette faille. Les utilisateur de la branche 1.9.1 sont invités à installer cette version.
1.9.2-p180 corrige cette faille. Les utilisateurs de la branche 1.9.2 sont invités à installer cette version.

EuRuKo 2011

Tue, 25 Jan 2011 21:23:13 GMT

Une fois par an se tient euruko, la conférence européenne sur Ruby. L'édition 2011 aura lieu à Berlin les 28 et 29 mai prochains, dans un célèbre cinéma, le Kino International. Vous avez jusqu'au 22 février si vous souhaitez proposer une conférence et les places vont bientôt être mises en vente.