Notizie su Ruby

Rilasciato Ruby 2.0.0-p0

Sun, 03 Mar 2013 15:10:16 +0000

Siamo lieti di annunciare l'uscita di Ruby 2.0.0-p0.

Ruby 2.0.0 è il primo rilascio stabile della serie Ruby 2.0, con molte nuove funzionalità e miglioramenti in risposta alle crescenti e diverse richieste per Ruby.

Buon divertimento con Ruby 2.0.0!

Download

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.tar.bz2>

SIZE:   10814890 bytes
MD5:    895c1c581f8d28e8b3bb02472b2ccf6a
SHA256: c680d392ccc4901c32067576f5b474ee186def2fcd3fcbfa485739168093295f

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.tar.gz>

SIZE:   13608925 bytes
MD5:    50d307c4dc9297ae59952527be4e755d
SHA256: aff85ba5ceb70303cb7fb616f5db8b95ec47a8820116198d1c866cc4fff151ed

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.zip>

SIZE:   15037340 bytes
MD5:    db5af5d6034646ad194cbdf6e50f49ee
SHA256: 0d0af6a9c8788537efd8d7d2358ce9468e6e2b7703dacba9ebd064d8b7da5f99

Cos'è Ruby 2.0.0

Nuove Funzionalità

In evidenza:

Nuove funzionalità del linguaggio
- Argomenti con parole chiave, che danno maggiore flessibilità al design di API
- Module#prepend, un nuovo modo per estendere una classe
- L'espressione letterale %i, che può essere usata per creare facilmente un array di simboli
- __dir__, che ritorna il nome della directory che contiene il file che eseguito correntemente
- L'encoding UTF-8 è ora il default, quindi è ora possibile omettere i "commenti magici" per configurare l'encoding di un file sorgente
Librerie incluse
- Enumerable#lazy e Enumerator::Lazy, per creare (anche infiniti) lazy stream
- Enumerator#size e Range#size, per ottenere una lazy size evaluation
- #to_h, una nuova convenzione per la conversione a Hash
- Onigmo, un nuovo motore per le espressioni regolari (un fork di Oniguruma)
- API per la gestione asincrona delle eccezioni
Supporto per il debug
- Supporto di DTrace, che permette la diagnosi a runtime in produzione
- TracePoint, un'api per la tracciabilità migliorata
Miglioramenti di prestazioni
- Ottimizzazione del Garbage Collector tramite bitmap marking
- Ottimizzazione di Kernel#require che rende molto veloce lo startup di Rails
- Ottimizzazione della VM, per esempio sul dispatch dei metodi
- Ottimizzazione delle operazioni con Float

In aggiunta, sebbene sia una funzionalità sperimentale, la versione 2.0.0 include i Raffinamenti (Refinements), che aggiungono un nuovo concetto alla modularità di Ruby.

Compatibilità

La versione 2.0.0 è stata progettata affinchè sia compatibile con la versione 1.9. Sarà molto più facile migrare dalla 1.9 alla 2.0 di quanto è stato migrare dalla versione 1.8 a 1.9. (Alcune incompatibilità degne di nota sono descritte di seguito.)

Infatti, grazie alla dedizione e al lavoro di terzi, alcune popolari applicazioni quali Rails e tDiary sembrano funzionare già con la release candidate di Ruby 2.0.0.

Documentazione

Abbiamo inoltre migliorato la documentazione, cosa che è stata richiesta da molti utenti di Ruby. Abbiamo aggiunto tantissimo codice RDoc per moduli e metodi. La versione 2.0.0 sarà documentata al 75%, mentre la versione 1.9.3 era documentata circa al 60%. Inoltre, abbiamo anche aggiunto una descrizione della sintassi di Ruby, come puoi vedere eseguendo:

ri ruby:syntax

Stabilità

Nota che al contrario della versione 1.9.0, la versione 2.0.0 è una versione stabile, sebbene l'ultimo numero sia uno 0. Tutti gli autori di librerie sono fortemente invitati a supportare la versione 2.0.0. Come menzionato in precedenza, la migrazione da 1.9 a 2.0 sarà comparativamente facile.

Ruby 2.0.0 è pronto per essere utilizzato in produzione, e migliorerà assolutamente il tuo modo di programmare in Ruby.

Note

Articoli introduttivi

Questi sono alcuni articoli introduttivi scritti da terze parti sulle nuove funzionalità di Ruby 2.0.0:

<URL:http://blog.marc-andre.ca/2013/02/23/ruby-2-by-example> (completo, raccomandato)
<URL:https://speakerdeck.com/shyouhei/whats-new-in-ruby-2-dot-0> (completo, raccomandato)
<URL:http://el.jibun.atmarkit.co.jp/rails/2012/11/ruby-20-8256.html> (breve, in Giapponese)
<URL:https://speakerdeck.com/nagachika/rubyist-enumeratorlazy> (solo su Enumerator::Lazy, in Giapponese)

I seguenti articoli sono inoltre utili, ma non aggiornati in materia di Raffinamenti:

Inoltre, la recente edizione di "Rubyist Magazine" include alcuni articoli che sono scritti dagli stessi autori delle nuove funzionalità, per introdurre alcune nuove funzionalità rilasciate con Ruby 2.0.0.

<URL:http://jp.rubyist.net/magazine/?0041-200Special>

Sebbene siano scritti in Giapponese, delle traduzioni in inglese saranno disponibili in futuro.

Incompatibilità

Ci sono cinque incompatibilità degne di nota di cui siamo a conoscenza:

L'encoding di default per gli script Ruby è ora UTF-8 [#6679]. Alcune persone ci hanno notificato che questo ha impatto su programmi esistenti; per esempio alcuni programmi di benchark sembrano diventare più lenti [ruby-dev:46547].
Iconv è stato rimosso, dal momento che era già stato deprecato quando M17N è stato introdotto in Ruby 1.9. Utilizza String#encode, ecc. al suo posto.
Rottura di ABI (Application Binary Interface) [ruby-core:48984]. Normalmente, gli utenti dovrebbero solamente reinstallare le estensioni. Ricordati di NON COPIARE file .so o .bundle dalla versione 1.9.
#lines, #chars, #codepoints, #bytes ora ritornano un Array invece di un Enumerator [#6670]. Questo cambiamento permette di evitare il comune idioma "lines.to_a". Per ritornare un Enumerator, utilizza #each_line, ecc.
Object#inspect ritorna sempre una stringa quale #<ClassName:0x…> invece di delegare a #to_s. [#2152]

Ci sono inoltre altre incompatibilità minori. [ruby-core:49119]

Stato dei Raffinamenti

La versione 2.0.0 includerà i raffinamenti (refinements) come una "funzionalità sperimentale", siccome non siamo ancora tutti d'accordo su alcuni dettagli riguardanti le specifiche. Il comportamento di questa funzionalità potrà cambiare in future versioni di Ruby. Malgrado ciò, vorremmo che incominciassi ad utilizzare questa funzionalità e che ci facessi pervenire le tue impressioni. Il tuo feedback aiuterà a forgiare questa interessante funzionalità.

Ringraziamenti

Moltissime persone hanno contribuito a Ruby 2.0.0.

Anche una lista incompleta con solo alcune parti dei contributi è troppo lunga per essere inserita in questo annuncio, quindi, ecco qui un link alla pagina che contiene i ringraziamenti speciali:

<URL:https://bugs.ruby-lang.org/projects/ruby/wiki/200SpecialThanks>

Grazie a tutti!

Rilasciato Ruby 1.9.3-p392

Sun, 03 Mar 2013 14:42:03 +0000

RD syntax error: line 8: …((<"Vulnerabilità DoS di espansione di entità in REXML (XML bomb)"|http:/ / www.ruby-lang.org/it/news/2013/03/03/rexml-dos-2013-02-22/>)) … ^

Download

Puoi scaricare questa versione da:

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.bz2>

SIZE:   10024221 bytes
MD5:    a810d64e2255179d2f334eb61fb8519c
SHA256: 5a7334dfdf62966879bf539b8a9f0b889df6f3b3824fb52a9303c3c3d3a58391

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.gz>

SIZE:   12557294 bytes
MD5:    f689a7b61379f83cbbed3c7077d83859
SHA256: 8861ddadb2cd30fb30e42122741130d12f6543c3d62d05906cd41076db70975f

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.zip>

SIZE:   13863402 bytes
MD5:    212fb3bc41257b41d1f8bfe0725916b7
SHA256: f200ce4a63ce57bea64028a507350717c2a16bdbba6d9538bc69e9e7c2177c8b

Commento alla versione

L'autore della versione ringrazia i molti collaboratori, testatori, e utenti che hanno contribuito all'uscita di questa versione notificando bachi.

Vulnerabilità DoS di espansione di entità in REXML (XML bomb)

Sun, 03 Mar 2013 14:34:58 +0000

Un'incontrollata espansione di entità può provocare una vulnerabilità DoS in REXML. (L'identificativo CVE sarà asseggnato successivamente) Raccomandiamo fortemente di aggiornare Ruby.

Dettagli

Durante la lettura di nodi testuali da un documento XML, il parser RAXML può essere utilizzato per allocare degli oggetti string estremamente grandi che possono consumare tutta la memoria su una macchina, causando un Denial of Service.

Il codice impattato è del tipo:

document = REXML::Document.new some_xml_doc
document.root.text

Quando il metodo `text` viene chiamato, le entità XML vengono espanse. Un utente malintenzionato può utilizzare un documento XML relativamente piccolo che, quando le entità vengono risolte, consumerà grandi quantità di memoria nel sistema.

Da notare che questo attacco è simile, ma differente, all'attacco "Billion Laughs", che è correlato al CVE-2013-1664 di Python.

Tutti gli utenti che utilizzano una versione soggetta a questa vulnerabilità dovrebbero procedere all'aggiornamento o utilizzare uno dei workaround immediatamente.

Workaround

Se non puoi aggiornare Ruby, utilizza questa patch manuale come workaround:

class REXML::Document
  @@entity_expansion_text_limit = 10_240

  def self.entity_expansion_text_limit=( val )
    @@entity_expansion_text_limit = val
  end

  def self.entity_expansion_text_limit
    @@entity_expansion_text_limit
  end
end

class REXML::Text
  def self.unnormalize(string, doctype=nil, filter=nil, illegal=nil)
    sum = 0
    string.gsub( /\r\n?/, "\n" ).gsub( REFERENCE ) {
      s = self.expand($&, doctype, filter)
      if sum + s.bytesize > REXML::Document.entity_expansion_text_limit
        raise "entity expansion has grown too large"
      else
        sum += s.bytesize
      end
      s
    }
  end

  def self.expand(ref, doctype, filter)
    if ref[1] == ?#
      if ref[2] == ?x
        [ref[3...-1].to_i(16)].pack('U*')
      else
        [ref[2...-1].to_i].pack('U*')
      end
    elsif ref == '&amp;'
      '&'
    elsif filter and filter.include?( ref[1...-1] )
      ref
    elsif doctype
      doctype.entity( ref[1...-1] ) or ref
    else
      entity_value = DocType::DEFAULT_ENTITIES[ ref[1...-1] ]
      entity_value ? entity_value.value : ref
    end
  end
end

Questa patch limiterà la grandezza della sostituzione delle entità a 10k per nodo. REXML inoltre di default permette solamente 10000 sostituzioni di entità per documento, quindi il massimo ammontare di testo che può essere generato tramite sostituzione di entità sarà attorno ai 98MB.

Versioni soggette alla vulnerabilità

Tutte le versioni di Ruby 1.9 precedenti a 1.9.3 patchlevel 392
Tutte le versioni di Ruby 2.0 precedenti a 2.0.0 patchlevel 0
Tutte le versioni precedenti alla trunk revision 39384

Crediti

Grazie a Ben Murphy per averci notificato il problema.

Cronologia

Originariamente pubblicato il giorno 2013-02-22 alle ore 12:00:00 (UTC)

Vulnerabilità di Denial of Service e creazione insicura di oggetti in JSON (CVE-2013-0269)

Sun, 03 Mar 2013 14:17:45 +0000

È stata rilevata una vulnerabilità di denial of service e creazione insicura di oggetti nella versione di json inclusa in Ruby. L'identificativo CVE "CVE-2013-0269" è stato assegnato a questa vulnerabilità. Raccomandiamo fortemente di aggiornare Ruby.

Dettagli

Durante il parsing di alcuni documenti JSON, la gemma JSON (inclusa in Ruby) può essere utilizzata per creare dei simboli Ruby su un sistema. Dal momento che i simboli in ruby non sono gestiti tramite garbage collection, ciò può essere usato per provocare un attacco di Denial of Service.

La stessa tecnica può essere usata per creare oggetti in un sistema, in modo che si comportino come oggetti interni. Tali oggetti possono essere utilizzati per aggirare alcuni meccanismi di sicurezza, e come base per attacchi di tipo SQL injection in Ruby on Rails.

Il codice impattato è del tipo:

JSON.parse(user_input)

Dove la variabile `user_input` contiene un documento JSON come questo:

{"json_class":"foo"}

La gemma JSON proverà a cercare una costante chiamata "foo". La ricerca di questa costante creerà un simbolo.

In JSON versione 1.7.x, oggetti con attributi arbitrari possono essere creati utilizzando documenti JSON come questo:

{"json_class":"JSON::GenericObject","foo":"bar"}

Questo documento creerà un'istanza di JSON::GenericObject, con l'attributo "foo" con il valore "bar". Istanziare questi oggetti risulterà in una creazione di simboli arbitrari, e in alcuni casi potrebbe essere usata per aggirare misure di sicurezza.

NOTA BENE: questo comportamento non cambia quando viene usato `JSON.load`. `JSON.load` non dovrebbe mai essere usato per processare input provenienti da sorgenti sconosciute. Se devi processare del codice JSON proveniente da sorgenti sconosciute, usa sempre `JSON.parse`.

Tutti gli utenti che utilizzano una versione di Ruby soggetta a questa vulnerabilità dovrebbero o aggiornare Ruby o la gemma JSON immediatamente, oppure utilizzare uno dei workaround.

Workarounds

Per utenti che non possono aggiornare Ruby o la gemma JSON, cambiate il codice da questo:

JSON.parse(json)

A questo:

JSON.parse(json, :create_additions => false)

Se non puoi cambiare l'utilizzo di `JSON.parse` (per esempio se utilizzi una gemma che dipende da `JSON.parse` come multi_json), applica manualmente questa patch:

module JSON
  class << self
    alias :old_parse :parse
    def parse(json, args = {})
      args[:create_additions] = false
      old_parse(json, args)
    end
  end
end

Versioni soggette alla vulnerabilità

Tutte le versioni di Ruby 1.9 precedenti a 1.9.3 patchlevel 392
Tutte le versioni di Ruby 2.0 precedenti a 2.0.0 patchlevel 0
Tutte le versioni precedenti alla trunk revision 39208

Crediti

Un ringraziamento enorme va alle seguenti persone, per averci notificato in maniera responsabile il problema, e per aver lavorato con il team di Rails per correggerlo:

Thomas Hollstegge of Zweitag (www.zweitag.de)
Ben Murphy

Cronologia

Originariamente pubblicato il giorno 2013-02-22 alle ore 12:00:00 (UTC)

"Call for Papers" aperto per la Barcelona Ruby Conference

Sun, 03 Mar 2013 14:00:51 +0000

La Barcelona Ruby Conference è una conferenza che ha sede nel cuore della Catalogna, in Spagna il 14 e il 15 settembre. Ci saranno ospiti di fama mondiale come Aaron Patterson (Rails e Ruby Core), David Chelimsky (autore de The RSpec book, RSpec core member), Charles Nutter (sviluppatore di JRuby), Sandi Metz (autore di Practical Object-Oriented Design in Ruby) o Yukihiro Matz (il creatore del linguaggio Ruby), tra gli altri.

Il call for papers è già aperto e sono ammesse iscrizioni fino al 10 di marzo - non perdere la possibilità di essere in questa lista!

Abbiamo un totale di 4 posti aperti, e ciascuno dei 4 relatori selezionati riceverà un ticket gratuito per la conferenza, così come il soggiorno pagato. Puoi dare un'occhiata alle condizioni del Call for Papers e mandare la tua proposta attraverso il sito ufficiale.

Ruby Hero Awards 2013

Sun, 03 Mar 2013 13:52:20 +0000

I Ruby Hero Awards accettano candidature, e abbiamo bisogno del tuo aiuto per trovare persone nella nostra comunità che aiutano gli altri in maniera incondizionata, e magari non ricevono tutta la riconoscenza che si meritano. Per esempio qualcuno che ha contribuito ad un progetto open source in Ruby nel corso dello scorso anno che ti è stato utile, o magari un educatore, o magari qualcuno che ha aiutato ad organizzare eventi inerenti a Ruby.

Se hai un minuto, usalo per nominare qualcuno tramite il sito RubyHeroes.com, semplicemente inserendo lo username Github della persona che vuoi nominare, e dandoci una ragione perchè secondo te merita di vincere. Tra circa un mese, tutti i Ruby Hero degli anni precedenti ci aiuteranno a decidere chi vincerà uno dei 6 premi che saranno presentati agli "eroi" sul palco di Railsconf a fine Aprile.

Rilasciato Ruby 2.0.0-rc2

Sun, 03 Mar 2013 13:45:00 +0000

Ruby 2.0.0-rc2 è stato rilasciato. Questa sarà l'ultima release candidate di Ruby 2.0.0.

Provalo e notificaci in merito a qualsiasi problema.

Download

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-rc2.tar.bz2>

SIZE:   10822239 bytes
MD5:    e92420131bd7994513e0bf09a3e2a19b
SHA256: d55f897bb04283c5fa80223d96d990fe8ecb598508dd59443b356cbba1f66145

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-rc2.tar.gz>

SIZE:   13616756 bytes
MD5:    9d5e6f26db7c8c3ddefc81fdb19bd41a
SHA256: 87072ab3e6d393d47f7402682364e4f24efe1c518969795cc01fcdeeb0e646f3

<URL:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-rc2.zip>

SIZE:   15118480 bytes
MD5:    1a2d33f1c50e32ca1532f8dea4790d53
SHA256: c28e9baf3aa00b41b8823c16df436ae143e8a63e43e7a53302f23119e13d0ebf

Nuove funzionalità della versione 2.0.0

Argomenti con parole chiave
Enumerable#lazy
Module#prepend
#to_h: Convenzione per convertire ad Hash
%i: un espressione letterale per un array di simboli
Aggiornato il motore delle espressioni regolari: Onigmo (un fork di Oniguruma)
Introduzione di Enumerator#size e Range#size
Supporto DTrace
TracePoint
Ottimizzazione di require (specialmente su Windows)
Supporto NativeClient
Miglioramenti alla documentazione
Migliorata gestione degli interrupt asincroni
Tuning dei parametri di stack size a launch-time
Raffinamenti [sperimentale]

… e molti altri miglioramenti. Vedi le notizie per i dettagli.

Qui ci sono alcuni articoli introduttivi scritti da terze parti:

<URL:https://speakerdeck.com/a_matsuda/ruby-2-dot-0-on-rails>
<URL:http://globaldev.co.uk/2012/11/ruby-2-0-0-preview-features/>
<URL:http://www.infoq.com/news/2012/11/ruby-20-preview1>
<URL:http://timelessrepo.com/refinements-in-ruby> (Raffinamenti)
<URL:http://el.jibun.atmarkit.co.jp/rails/2012/11/ruby-20-8256.html> (in Giapponese)
<URL:https://speakerdeck.com/nagachika/rubyist-enumeratorlazy> (Enumerator::Lazy, in Giapponese)

(Se vuoi fornirci altri articoli, li potremo citare o menzionare nel prossimo annuncio)

Note

Incompatibilità

Ci sono alcune incompatibilità degne di nota di cui siamo a conoscenza:

L'encoding di default per gli script Ruby è ora UTF-8 [#6679]. Alcune persone riportano che questo può creare qualche problema a programmi già esistenti, per esempio alcuni programmi di benchmark potrebbero diventare più lenti [ruby-dev:46547]. Questa specifica potrebbe cambiare con la versione ufficiale.
iconv è stato rimosso, dal momento che era già stato deprecato quando M17N è stato introdotto in Ruby 1.9. Utilizza String#encode, ecc. al suo posto.
Rottura di ABI (Application Binary Interface) [ruby-core:48984]. Normalmente, gli utenti dovrebbero solamente reinstallare le estensioni. Ricordati di NON COPIARE file .so o .bundle dalla versione 1.9.

Altre incompatibilità minori. [ruby-core:49119] Se trovi altre incompatibilità, per favore notificacele.

Stiamo inoltre creando delle note per l'aggiornamento, ma alcune parti non sono più aggiornate.

<URL:https://bugs.ruby-lang.org/projects/ruby/wiki/200UpgradeNotesDraft>

Stato dei Raffinamenti

Ringraziamenti speciali

L'autore ringrazia tutti coloro che hanno provato le versioni preview e rc1!

Grazie a tutti i collaboratori, che con il loro duro lavoro hanno corretto molti bachi, e grazie a tutti le persone che hanno aiutato l'autore a preparare questa versione.

Rilasciato Ruby 1.9.3-p385

Sun, 03 Mar 2013 13:26:47 +0000

Ruby 1.9.3-p385 è stato rilasciato.

Questo rilascio include una correzione di sicurezza riguardante RDoc. Vedi questa pagina per i dettagli.

Inoltre, questo rilascio include anche alcune piccole correzioni di bachi.

Vedi i ticket e il ChangeLog per i dettagli.

Download

Puoi scaricare questa versione da:

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p385.tar.bz2>

SIZE:   10021486 bytes
MD5:    5ec9aff670f4912b0f6f0e11e855ef6c
SHA256: f991ee50414dc795696bad0fc5c7b0b94d93b9b38fed943326d20ce4e9dda42b

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p385.tar.gz>

SIZE:   12546003 bytes
MD5:    3e0d7f8512400c1a6732327728a56f1d
SHA256: 4b15df007f5935ec9696d427d8d6265b121d944d237a2342d5beeeba9b8309d0

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p385.zip>

SIZE:   13862147 bytes
MD5:    044564fe519a2c8e278472c4272b3ff2
SHA256: 0cb389fcc1ac9fccf32f3db27497908b7365aa910b6dd1559389416e828addc5

Commento alla versione

L'autore della versione ringrazia i molti collaboratori, testatori, e utenti che hanno contribuito all'uscita di questa versione notificando bachi.

Buon Hacking!

Vulnerabilità XSS della documentazione RDoc generata da rdoc (CVE-2013-0256)

Sun, 03 Mar 2013 13:20:49 +0000

La documentazione di RDoc generata dal rdoc incluso in Ruby è vulnerabile ad attacchi XSS (cross-site scripting).

Raccomandiamo a tutti gli utilizzatori di Ruby di aggiornare la propria versione di Ruby alla nuova versione, che include una versione di RDoc che corregge il problema.

Se pubblichi documentazione RDoc generata tramite rdoc, ti raccomandiamo di applicare una patch per la documentazione o di rigenerarla con la nuova versione di RDoc.

Impatto

La documentazione di RDoc generata tramite rdoc (versioni da 2.3.0 a 3.12, e prerelease fino a rdoc 4.0.0.preview2.1) sono vulnerabili ad attacchi XSS. La vulnerabilità può portare alla pubblicazione di cookie a terze parti.

Details

La vulnerabilità è in darkfish.js, che è copiato dalla directory dove RDoc è installato, alla directory dove viene generata la documentazione

RDoc è uno strumento per la generazione di documentazione statica. Applicare una patch alla libreria è insufficiente per correggere questa vulnerabilità. Coloro che pubblicano documentazione devono applicare la seguente patch.

Soluzione

Applica la patch seguente alla documentazione rdoc. Se applicata ignorando gli spazi, la patch correggerà tutte le versioni interessate dalla vulnerabilità:

diff --git darkfish.js darkfish.js
index 4be722f..f26fd45 100644
--- darkfish.js
+++ darkfish.js
@@ -109,13 +109,15 @@ function hookSearch() {
 function highlightTarget( anchor ) {
   console.debug( "Highlighting target '%s'.", anchor );

-  $("a[name=" + anchor + "]").each( function() {
-    if ( !$(this).parent().parent().hasClass('target-section') ) {
-      console.debug( "Wrapping the target-section" );
-      $('div.method-detail').unwrap( 'div.target-section' );
-      $(this).parent().wrap( '<div class="target-section"></div>' );
-    } else {
-      console.debug( "Already wrapped." );
+  $("a[name]").each( function() {
+    if ( $(this).attr("name") == anchor ) {
+      if ( !$(this).parent().parent().hasClass('target-section') ) {
+        console.debug( "Wrapping the target-section" );
+        $('div.method-detail').unwrap( 'div.target-section' );
+        $(this).parent().wrap( '<div class="target-section"></div>' );
+      } else {
+        console.debug( "Already wrapped." );
+      }
     }
   });
 };

Inoltre, se usi Ruby 1.9, ti raccomandiamo di aggiornare a ruby-1.9.3 patchlevel 385. Se stai usando Ruby 2.0.0 rc1 o una versione precedente del trunk di Ruby, per favore aggiorna a Ruby 2.0.0 rc2 revisione 39102 o successiva. Puoi anche aggiornare lo stesso RDoc utilizzando RubyGems alla versione 3.12.1 o 4.0.0.rc.2

Versioni soggette alla vulnerabilità

Tutte le versioni di Ruby 1.9 precedenti alla versione 1.9.3 patchlevel 383
Tutte le versione di Ruby 2.0 precedenti alla versione 2.0.0 rc2 o precedenti alla revisione 39102

Crediti

Questa vulnerabilità è stata scoperta da Evgeny Ermakov <corwmh@gmail.com>.

A questa vulnerabilità è stato assegnato l'identificativo CVE "CVE-2013-0256".

Cronologia

Pubblicato per la prima volta il giorno 2013-02-06 alle ore 13:30:00 (UTC)

ConFoo con Ruby a Montreal

Sun, 27 Jan 2013 19:23:21 +0000

Se non hai mai sentito parlare di ConFoo, è una delle più importanti conferenze per sviluppatori. Il team include 100 speaker da ogni parte del mondo pronti a condividere le loro personali esperienze con molte tecnologie web. La cosa più bella è che è totalmente gestita dalla comunità ed è non-profit!

Le presentazioni, di un'ora ciascuna, riguardano Ruby, PHP, JavaScript, Python, .NET, Java, e-Commerce, Sicurezza, Mobile, UX, e altri argomenti. Il programma è impressionante.

Ci saranno anche corsi interattivi e una hackaton nei due giorni prima dell'evento.

Questo evento è all'Hilton Bonaventure Montreal, dal 27 febbraio al 1 marzo. I biglietti sono disponibili online.