Wydano Ruby 1.9.2-p330

Właśnie wydaliśmy 1.9.2-p330, finalne wydanie serii 1.9.2.

Wkrótce po ogłoszeniu Końca życia dla 1.9.2 (i 1.8.7), została znaleziona krytyczna regresja bezpieczeństwa w 1.9.2. Tej podatności został przypisany identyfikator CVE-2014-6438.

Ten błąd występuje podczas parsowania długiego napisu podczas używania metody URI decode_www_form_component. Można to odtworzyć poprzez uruchomienie poniższego na podatnych wersjach Rubiego:

ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'

Z racji tego, że zostało to znalezione i poprawione tuż przed wydaniem 1.9.3, wersje Rubiego 1.9.3-p0 i późniejsze nie są podatne; jakkolwiek wersje Rubiego 1.9.2 starsze od 1.9.2-p330 podatne.

Możesz przeczytać oryginalny raport o błędzie: https://bugs.ruby-lang.org/issues/5149#note-4

Pobieranie

Zalecamy zaktualizowanie do stabilnej i wspieranej wersji Rubiego.