由 aycabta 发表于 2019-08-28
翻译： Delton Ding

Ruby 内置的 RDoc 所附带的 jQuery 存在关于跨站脚本攻击（XSS）的安全性缺陷。建议所有使用者将 Ruby 更新至已包含修复版本的 RDoc 最新版本。

详情

以下为被报告的缺陷。

• CVE-2012-6708
• CVE-2015-9251

强烈建议所有 Ruby 使用者升级你的 Ruby，或尽快采用下述临时解决方案。你还需要重新生成现有的 RDoc 文档以完全解决问题。

受影响的版本

• Ruby 2.3 系列：全部
• Ruby 2.4 系列：2.4.6 以及之前的版本
• Ruby 2.5 系列：2.5.5 以及之前的版本
• Ruby 2.6 系列：2.6.3 以及之前的版本
• 在 master commit f308ab2131ee675000926540cbb8c13c91dc3be5 之前

必要措施

RDoc 是静态文档的生成工具。修补工具本身不足以解决这些安全性问题。因此你还必须使用新的 RDoc 重新生成由之前版本生成的 RDoc 文档。

临时解决方案

原则上，你应该要升级你的 Ruby 至最新版本。 RDoc 6.1.2 以及之后的版本包含安全性修复，因此如果你无法升级 Ruby 本身，请将 RDoc 升级至最新版本。

如同前述，必须重新生成 RDoc 文档。

gem install rdoc -f

更新： 本文的初始版本部分提到了 rdoc-6.1.1.gem，但其仍存在缺陷。请确保你安装了 rdoc-6.1.2 或之后的版本。

至于开发版本，请更新 master 分支至最新 HEAD。

鸣谢

感谢 Chris Seaton 报告了这一问题。

歷史

• 最早发布于 2019-08-28 09:00:00 UTC
• RDoc 版本修正于 2019-08-28 11:50:00 UTC
• 细节语言修正于 2019-08-28 12:30:00 UTC

订阅

最新消息（RSS）