The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Ruby и Rails с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Ruby и Rails с устранением уязвимостей"  +/
Сообщение от opennews (??), 14-Мрт-19, 10:59 
Доступны (https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../) корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей (https://blog.rubygems.org/2019/03/05/security-advisories-201...) в системе управления пакетами RubyGems:


-  CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в  ensure_loadable_spec на стадии проверки перед установкой);
-  CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar;
-  CVE-2019-8321: возможность  подстановки escape-последовательностей через обработчик Gem::UserInteraction#verbose;
-  CVE-2019-8322: возможность  подстановки escape-последовательностей через команду "gem owner";
-  CVE-2019-8323: возможность  подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response);
-  CVE-2019-8325: возможность  подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов).


Кроме того, представлено (https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6.../) обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением трёх уязвимостей:


-  CVE-2019-5420 (https://www.openwall.com/lists/oss-security/2019/03/13/3) - потенциально позволяет удалённо выполнить свой код на сервере, при работе Rails в режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно предугадать автоматически генерируемый токен  режима для разработчиков, знание которого позволяет добиться выполнения своего кода;

-  CVE-2019-5418 (https://www.openwall.com/lists/oss-security/2019/03/13/5) - уязвимость в Action View, позволяющая получить содержимое произвольных файлов из файловой системы сервера через отправку специально оформленного  HTTP-заголовка Accept при наличии в коде обработчика "render file:".
-  CVE-2019-5419 (https://www.openwall.com/lists/oss-security/2019/03/13/4) - DoS-уязвимость в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на CPU через манипуляции с содержимым HTTP-заголовка Accept;


URL: https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50321

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Ruby и Rails с устранением уязвимостей"  +1 +/
Сообщение от Аноним (1), 14-Мрт-19, 10:59 
Говорили им, ставьте из репозитария, нет, хотим гемов накатить :}
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Ruby и Rails с устранением уязвимостей"  +/
Сообщение от Аноним (2), 14-Мрт-19, 13:04 
В дебиане даже в сиде сейчас 2.5.1.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Ruby и Rails с устранением уязвимостей"  –1 +/
Сообщение от Аноним (3), 14-Мрт-19, 14:24 
Потому что ментейнер, пакета с рубями давно на него болт положил, пару раз написал все в  black hole
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление Ruby и Rails с устранением уязвимостей"  +/
Сообщение от Аноним (1), 14-Мрт-19, 14:53 
Обновления безопасности в первую очередь идут в стейбл, например.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Ruby и Rails с устранением уязвимостей"  –1 +/
Сообщение от Аноним (2), 14-Мрт-19, 15:45 
В стейбле тоже 2.5.1, например. Потому и приходится юзать rvm/rbenv.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление Ruby и Rails с устранением уязвимостей"  +1 +/
Сообщение от Аноним (1), 14-Мрт-19, 15:49 
Интересный у тебя стейбл.

ruby -v
ruby 2.3.3p222 (2016-11-21) [x86_64-linux-gnu]

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление Ruby и Rails с устранением уязвимостей"  –1 +/
Сообщение от Матцумото (?), 14-Мрт-19, 15:58 
А кто-то пользуется встроенной версией рубей?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление Ruby и Rails с устранением уязвимостей"  –1 +/
Сообщение от Аноним (10), 14-Мрт-19, 18:18 
Зависит от задачи. Если надо Yast запускать, то системный Руби подменять - опасно. Впрочем, там где Yast, там и Руби свежий.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Обновление Ruby и Rails с устранением уязвимостей"  +/
Сообщение от Аноним (12), 14-Мрт-19, 20:35 
Обновления безопасности сначала в sid _и_ стейбл, а затем в тестинг.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Обновление Ruby и Rails с устранением уязвимостей"  +1 +/
Сообщение от Аноним (8), 14-Мрт-19, 16:46 
Врёте, 2.5.3 в unstable и testing

https://repology.org/project/ruby/versions

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Обновление Ruby и Rails с устранением уязвимостей"  –1 +/
Сообщение от GentooBoy (ok), 14-Мрт-19, 20:12 
пардонте видемо раздуплился немного но 2.6 так и не видно https://metadata.ftp-master.debian.org/changelogs//main/r/ru...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Обновление Ruby и Rails с устранением уязвимостей"  –1 +/
Сообщение от AleksK (ok), 14-Мрт-19, 18:13 
А другие гемы тоже ставить из репозитория? Вообще ставить Ruby или Python из реп для вебразработки так себе идея, есть проекты которые требуют разных версий интерпретаторов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Обновление Ruby и Rails с устранением уязвимостей"  +/
Сообщение от Аноним (13), 15-Мрт-19, 09:40 
> А другие гемы тоже ставить из репозитория?

Да.

> есть проекты которые требуют разных версий интерпретаторов

Можно просто аккуратно выбирать, чтобы не вляпаться.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Обновление Ruby и Rails с устранением уязвимостей"  +/
Сообщение от AleksK (ok), 15-Мрт-19, 20:06 
Один из громадных плюсов вебразработки на Ruby или Python это то что просто создаешь виртуальное окружение и настраиваешь его как тебе надо под любой проект. При этом это делается на любом серверном дистрибутиве, которые обычно не отличаются свежестью софта в репозиториях. Тоже самое кстати замечательно работает с js.  
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру