2012 Archives

Sortie de la version 1.9.3-p362 de Ruby

À cette période de l'année, comme à notre habitude, nous venons de publier une nouvelle version de Ruby, la 1.9.3-p362.

Lire la suite...

Sortie de la version 1.9.3-p327 de Ruby

La version 1.9.3-p327 de Ruby est sortie. Elle inclut un correctif de sécurité ainsi que la correction d'autres bugs mineurs :

Lire la suite...

Ruby 1.9 vulnérable à un déni de service par collision sur le hachage (CVE-2012-5371)

Une attaque a été découverte pour réaliser un déni de service par collision sur la fonction de hachage des chaînes de caractères utilisée par les versions 1.9 de Ruby. Cette vulnérabilité est différente de CVS-2011-4815 pour Ruby 1.8.7. Tous les utilisateurs de Ruby 1.9 sont encouragés à mettre à jour vers ruby-1.9.3 patchlevel 327 pour bénéficier du correctif de sécurité.

Lire la suite...

Vulnérabilité de contournement de $SAFE via Exception#to_s et NameError#to_s (CVE-2012-4464, CVE-2012-4466)

Des vulnérabilités ont été découvertes sur les méthodes Exception#to_s, NameError#to_s et name_err_mesg_to_s(), cette dernière faisant partie de l'API interne de l'interpréteur Ruby. Une personne malveillante peut contourner la vérification de $SAFE en utilisant un de ces trous de sécurité.

Lire la suite...

Sortie de la version 1.9.3-p286 de Ruby

La version 1.9.3-p286 de Ruby a été publiée.

Lire la suite...

Création non-intentionnelle de fichiers

Une vulnérabilité a été découverte, qui permet la création non-intentionnelle de fichiers en insérant de manière bien choisie des caractères NUL dans le chemin des fichiers.

Lire la suite...

Sortie de la version 1.8.7-p370 de Ruby

Comme nous vous l'avions expliqué précédemment, nous mettons à votre disposition une nouvelle version de Ruby 1.8.7 qui ne comporte que des corrections de bugs.

Lire la suite...

Rails Girls Paris et Ruby Lugdunum

La communauté Ruby française va avoir le droit à deux événements importants au mois de juin. Le premier, Rails Girls Paris, se tiendra les 15 et 16 juin à Paris. Le second, Ruby Lugdunum, se déroulera juste après, les 22 et 23 juin, à Lyon.

Lire la suite...

Sortie de Ruby 1.9.3-p194

Ruby 1.9.3-p194 a été publié.

Lire la suite...

Sortie de Ruby 1.9.3-p125

La version 1.9.3-p125 de Ruby est sortie. Elle inclut un correctif de sécurité pour l'extension OpenSSL de Ruby et corrige d'autres bugs.

Lire la suite...

Correction d'une faille de sécurité dans le module OpenSSL : "0/n splitting" comme mesure préventive contre l'attaque TLS BEAST.

Dans OpenSSL, l'option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS pour les connections SSL est utilisée pour se prémunir d'une vulnérabilité de TLS-CBC-IV. Il s'agit d'une faille bien connue de TLSv1/SSLv3, qui est revenue sur le devant de la scène sous le nom d'attaque BEAST (CVE-2011-3389). Les discussions à ce sujet sont consultables sur le Ruby Bug Tracker.

Lire la suite...