RDoc 中多个 jQeury 安全性缺陷
由 aycabta 发表于 2019-08-28
翻译: Delton Ding
Ruby 内置的 RDoc 所附带的 jQuery 存在关于跨站脚本攻击(XSS)的安全性缺陷。建议所有使用者将 Ruby 更新至已包含修复版本的 RDoc 最新版本。
详情
以下为被报告的缺陷。
强烈建议所有 Ruby 使用者升级你的 Ruby,或尽快采用下述临时解决方案。你还需要重新生成现有的 RDoc 文档以完全解决问题。
受影响的版本
- Ruby 2.3 系列:全部
- Ruby 2.4 系列:2.4.6 以及之前的版本
- Ruby 2.5 系列:2.5.5 以及之前的版本
- Ruby 2.6 系列:2.6.3 以及之前的版本
- 在 master commit f308ab2131ee675000926540cbb8c13c91dc3be5 之前
必要措施
RDoc 是静态文档的生成工具。修补工具本身不足以解决这些安全性问题。因此你还必须使用新的 RDoc 重新生成由之前版本生成的 RDoc 文档。
临时解决方案
原则上,你应该要升级你的 Ruby 至最新版本。 RDoc 6.1.2 以及之后的版本包含安全性修复,因此如果你无法升级 Ruby 本身,请将 RDoc 升级至最新版本。
如同前述,必须重新生成 RDoc 文档。
gem install rdoc -f
更新: 本文的初始版本部分提到了 rdoc-6.1.1.gem,但其仍存在缺陷。请确保你安装了 rdoc-6.1.2 或之后的版本。
至于开发版本,请更新 master 分支至最新 HEAD。
鸣谢
感谢 Chris Seaton 报告了这一问题。
歷史
- 最早发布于 2019-08-28 09:00:00 UTC
- RDoc 版本修正于 2019-08-28 11:50:00 UTC
- 细节语言修正于 2019-08-28 12:30:00 UTC
最新消息
Ruby 4.0.0 preview3 已发布
我们很高兴地宣布 Ruby 4.0.0-preview3 已发布。 Ruby 4.0 引入了 Ruby::Box 和 “ZJIT”,以及若干改进。
由 naruse 发表于 2025-12-18
Ruby 3.4.8 已发布
Ruby 3.4.8 已发布。
由 k0kubun 发表于 2025-12-17
Ruby 4.0.0 preview2 已发布
我们很高兴地宣布 Ruby 4.0.0-preview2 已发布。Ruby 4.0 更新 Unicode 版本至 17.0.0,还有一些其他变更。
由 naruse 发表于 2025-11-17
Ruby 3.3.10 已发布
Ruby 3.3.10 已发布。
由 nagachika 发表于 2025-10-23