aycabta tarafından 28.08.2019 tarihinde gönderildi
Çeviri: İsmail Arılık
Ruby’de paketlenmiş olan RDoc ile gelen jQuery’de Siteler Arası Betikleme (XSS) ile ilgili birçok güvenlik açığı vardır. Tüm Ruby kullanıcılarına, RDoc’un düzeltilmiş sürümünün bulunduğu son sürüme güncelleme yapmaları önerilir.
Ayrıntılar
Aşağıdaki güvenlik açıkları bildirildi.
Tüm Ruby kullanıcılarının en kısa zamanda Ruby kurulumlarını yükseltmeleri ya da aşağıdaki geçici çözümlerden birini kullanmaları şiddetle tavsiye edilir. Ayrıca güvenlik açıklarını tamamiyle ortadan kaldırmak için var olan RDoc belgelendirmelerini yeniden oluşturmalısınız.
Etkilenen Sürümler
- Ruby 2.3 serisi: tümü
- Ruby 2.4 serisi: 2.4.6 ve öncesi
- Ruby 2.5 serisi: 2.5.5 ve öncesi
- Ruby 2.6 serisi: 2.6.3 ve öncesi
- f308ab2131ee675000926540cbb8c13c91dc3be5 master işlemesi öncesi
Gerekli eylemler
RDoc, bir statik belgelendirme oluşturma aracıdır. Aracın kendisine yama yapmak, bu güvenlik açıklarını kapatmak için yeterli değildir.
Yani önceki sürümler ile oluşturulan RDoc belgelendirmeleri, daha yeni bir RDoc ile yeniden oluşturulmalıdır.
Geçici çözümler
Aslında Ruby kurulumunuzu son sürüme yükseltmelisiniz. RDoc 6.1.2 ve sonrası güvenlik açıkları için düzeltmeyi içerir, yani eğer Ruby’nin kendisini yükseltemiyorsanız, RDoc’u son sürüme yükseltin.
Daha önce bahsedildiği gibi var olan RDoc belgelendirmelerini yeniden oluşturmanız gerektiğini unutmayın.
gem install rdoc -f
Güncelleme: Bu gönderinin ilk sürümü kısmen rdoc-6.1.1.gem’den bahsetmiştir, ki bunda da güvenlik açığı vardır. Lütfen rdoc-6.1.2 ya da sonrasını kurduğunuza emin olun.
Geliştirme sürümü için master dalının en son HEAD’ine güncelleyin.
Teşekkür
Chris Seaton‘a güvenlik açıklarını bildirdiği için teşekkürler.
Geçmiş
- İlk olarak 2019-08-28 09:00:00 UTC tarihinde yayınlandı
- RDoc sürümü 2019-08-28 11:50:00 UTC tarihinde düzeltildi
- 2019-08-28 12:30:00 UTC tarihinde küçük dil düzeltmeleri yapıldı