Đăng bởi zzak and hone vào 19 Aug 2014
Dịch bởi Trung Lê

Chúng tôi hân hạnh công bố ấn bản 1.9.2-p330, đây là phiên bản cuối cùng của chuỗi 1.9.2.

Ngay sau khi công bố Ngưng hỗ trợ cho 1.9.2 (và 1.8.7), một lỗi regression bảo mật được phát hiện trong 1.9.2. Lỗ hổng này đã được đánh dấu lỗi trên CVE CVE-2014-6438.

Lỗi này xảy ra khi truyền vào một chuỗi với hàm URI decode_www_form_component. Lỗi có thể thực hiện lại bằng cách chạy dòng code Ruby sau:

ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'

Kể từ khi được phát hiện và vá trước ấn bản của 1.9.3, các phiên bản của Ruby 1.9.3-p0 và mới hơn không bị ảnh hưởng. Nhưng các phiên bản của Ruby 1.9.2 hoặc cũ hơn 1.9.3-p330 bị ảnh hưởng.

Bạn có thể đọc bản báo cáo gốc trên bug tracker: https://bugs.ruby-lang.org/issues/5149#note-4

Download

• https://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.tar.bz2

  SIZE:   9081661 bytes
  MD5:    8ba4aaf707023e76f80fc8f455c99858
  SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f
  

• https://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.tar.gz

  SIZE:   11416473 bytes
  MD5:    4b9330730491f96b402adc4a561e859a
  SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9
  

• https://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.zip

  SIZE:   12732739 bytes
  MD5:    42d261b28d1b7e500dd3bdbdbfba7fa5
  SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
  

Chúng tôi khuyến khích bạn nâng cấp lên bản ổn định mới nhất của Ruby.

Syndicate

Tin mới (RSS)