Вийшов Ruby 1.9.2-p330

Опублікував zzak and hone 19-08-2014
Переклав: Andrii Furmanets

Ми випустили 1.9.2-p330, останній випуск серії 1.9.2.

Незабаром після оголошення Кінця життя для 1.9.2 (та 1.8.7), була знайдена критична регресія безпеки в 1.9.2. Цій вразливості присвоєно ідентифікатор CVE CVE-2014-6438.

Ця помилка виникає, коли парситься довгий рядок, використовуючи метод URI decode_www_form_component. Це може бути відтворено, запустивши наступне на вразливих версіях Ruby:

ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'

Оскільки вона була знайдена та виправлена незадовго до випуску 1.9.3, версії Ruby 1.9.3-p0 та пізніші не зачеплені; однак версії Ruby 1.9.2 старіші за 1.9.2-p330 зачеплені.

Ви можете прочитати оригінальний звіт у трекері помилок: https://bugs.ruby-lang.org/issues/5149#note-4

Завантаження

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.bz2

  РОЗМІР:   9081661 байтів
  MD5:    8ba4aaf707023e76f80fc8f455c99858
  SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f
  

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.gz

  РОЗМІР:   11416473 байтів
  MD5:    4b9330730491f96b402adc4a561e859a
  SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9
  

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.zip

  РОЗМІР:   12732739 байтів
  MD5:    42d261b28d1b7e500dd3bdbdbfba7fa5
  SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
  

Ми заохочуємо вас оновитися до стабільної та підтримуваної версії Ruby.