Arquivos de 2017

Lançado Ruby 2.5.0-preview1

Estamos contentes em anunciar a versão 2.5.0-preview1 de Ruby.

Continuar a Leitura...

CVE-2017-10784: Vulnerabilidade de injeção de sequência de escape na autenticação Basic de WEBrick

Existe uma vulnerabilidade de injeção de sequência de escape na autenticação Basic do WEBrick empacotado com Ruby. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-10784.

Continuar a Leitura...

CVE-2017-0898: Vulnerabilidade de buffer underrun em Kernel.sprintf

Existe uma vulnerabilidade de buffer underrun no método sprintf do módulo Kernel. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-0898.

Continuar a Leitura...

Lançado Ruby 2.3.5

Ruby 2.3.5 foi lançado.

Continuar a Leitura...

Lançado Ruby 2.2.8

Foi lançado Ruby 2.2.8. Esta versão inclui diversas correções de segurança. Por favor, confira os tópicos abaixo para detalhes.

Continuar a Leitura...

CVE-2017-14064: Vulnerabilidade de exposição de heap no JSON gerado

Existe uma vulnerabilidade de exposição de heap no JSON empacotado pelo Ruby. Esta vulnerabilidade recebeu o identificador CVE CVE-2017-14064.

Detalhes

O método generate do módulo JSON aceita opcionalmente uma instância da classe JSON::Ext::Generator::State. Se uma instância maliciosa for passada, o resultado poderá incluir conteúdos do heap.

Todos os usuários rodando uma versão afetada devem fazer upgrade ou usar uma das soluções alternativas imediatamente.

Versões Afetadas

  • Série Ruby 2.2: 2.2.7 e anteriores
  • Série Ruby 2.3: 2.3.4 e anteriores
  • Série Ruby 2.4: 2.4.1 e anteriores
  • antes da revisão do tronco 58323

Soluções Alternativas

A biblioteca JSON também é distribuida como uma gem. Se você não puder fazer upgrade do Ruby, instale uma versão da gem JSON mais nova do que 2.0.4.

Crédito

Agradecimentos a ahmadsherif por reportar este problema.

Histórico

  • Originalmente publicado em 14/09/2017 12:00:00 (UTC)

Continuar a Leitura...

Lançado Ruby 2.4.2

Estamos contentes em anunciar a versão 2.4.2 de Ruby. Esta versão contém algumas correções de segurança.

Continuar a Leitura...

Múltiplas vulnerabilidades no RubyGems

Existem múltiplas vulnerabilidades no RubyGems, biblioteca do Ruby. Foi reportado no blog oficial do RubyGems. (em inglês)

Continuar a Leitura...

Nomeações para Ruby Prize 2017 estão abertas

Estamos felizes em anunciar que o Ruby Prize acontecerá este ano!

Continuar a Leitura...

Support of Ruby 2.1 has ended

Anunciamos que o suporte da série Ruby 2.1 foi encerrado.

Continuar a Leitura...