Liberado Ruby 1.9.2-p330

Publicado por zzak and hone el 2014-08-19
Traducción de David Padilla

Hemos liberado la versión 1.9.2-p330, la versión final de la serie 1.9.2.

Luego de haber anunciado el Fin de la Vida de 1.9.2 (y 1.8.7), se encontró una regresión de seguridad crítica en 1.9.2. A esta vulnerabilidad se le ha asignado el identificador CVE-2014-6438.

Este problema ocurre cuando se interpreta una cadena larga utilizando el método de URI decode_www_form_component y puede ser reproducido utilizando el código siguiente en versiones vulnerables:

ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'

Como este problema fue corregido justo después de la liberación de 1.9.3, las versiones de Ruby 1.9.3-p0 en delante no son vulnerables; pero las versiones de Ruby 1.9.2 antes de 1.9.2-p330 si son vulnerables.

Puedes leer el reporte original de el problema en el tracker: https://bugs.ruby-lang.org/issues/5149#note-4

Descarga

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.bz2

  SIZE:   9081661 bytes
  MD5:    8ba4aaf707023e76f80fc8f455c99858
  SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f
  

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.gz

  SIZE:   11416473 bytes
  MD5:    4b9330730491f96b402adc4a561e859a
  SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9
  

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.zip

  SIZE:   12732739 bytes
  MD5:    42d261b28d1b7e500dd3bdbdbfba7fa5
  SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
  

Te recomendamos que actualices a una versión estable y mantendida de Ruby.