Odkryto lukę "Escape Sequence Injection" w WEBrick'u

Odkryto lukę bezpieczeństwa w serwerze WEBrick, który jest częścią biblioteki standardowej Rubiego. WEBrick umożliwia atakującemu wstrzyknięcie niebezpiecznych sekwencji znaków do logów serwera. W wyniku tego niebezpieczne znaki sterujące mogą zostać wykonane w terminalu ofiary.

Mamy już przygotowaną łatkę, wkrótce zostaną wydane uaktualnienia wszystkich aktywnych gałęzi Rubiego. W międzyczasie zalecamy aby nie przeglądać logów WEBrick'a.

Więcej…

Wydano Ruby 1.8.7-p248

25 grudnia 2009 roku wydano Ruby 1.8.7-p248. Wersja do pobrania z poniższych lokalizacji:

Szczegóły zmian w ChangeLog'u .

Więcej…

RuPy 2009 - Strongly Dynamic Conference

RuPy, to międzynarodowa konferencja, która skupia się na nowoczesnych językach skryptowych, takich jak Python i Ruby. Dzięki temu połączeniu, powstała niezwykle ciekawa i interesująca impreza, której trzecia edycja odbędzie się wczesną zimną.

W tym roku organizatorzy zapraszają nas do Poznania w dniach 7-8 listopada. Prelekcje zostaną poprowadzone m.in. przez znane osoby ze świata Pythona, Rubiego czy Grooviego. Swoje wystąpienia zapowiedzieli już: Obie Fernandez i Tarek Ziade.

Call for papers: Zespół sprawujący pieczę nad przygotowaniami do konferencji nie zapomniał również o chętnych prelegentach. Jeżeli wierzysz we własne siły i czujesz, że Twój temat zainteresuje większą grupę ludzi, dołącz do speakerów.., którzy będą tworzyli wizerunek tegorocznej edycji RuPy 2009!

Więcej…

Luka bezpieczeństwa w BigDecimal

W bibliotece standardowej BigDecimal znaleziono lukę bezpieczeństwa. Konwersja z BigDecimal na Float zawiera problem, który umożliwia atakującemu wywołanie "segmentation fault".

ActiveRecord polega na tej metodzie więc większość aplikacji Rails jest dotknięta tym problemem (chociaż nie jest on spowodowany przez kod Rails).

Więcej…

Wydano Ruby 1.8.7-p160 oraz 1.8.6-p368

Wydano akutalizację do Ruby w wersjach 1.8.7 oraz 1.8.6.

Tym razem poprawiono kilkanaście błędów włączając poprawki do CVE-2007-1558 oraz CVE-2008-1447. Poprawiono również wiele segfault'ów. Kompletna lista wszystkich poprawek znajduje się w Changelog'ach.

Zaktualizowany kod źródłowy można pobrać z:

Więcej…

2009 Archiwa…