Ir para o conteúdo
ou

Software livre Brasil

Tela cheia Sugerir um artigo
 Feed RSS

Noticias do Ruby

7 de Julho de 2009, 0:00 , por Software Livre Brasil - | Ninguém está seguindo este artigo ainda.

As notícias mais recentes do Ruby-Lang em Português.

CVE-2017-10784: Vulnerabilidade de injeção de sequência de escape na autenticação Basic de WEBrick

14 de Setembro de 2017, 12:00, por Notícias sobre Ruby - 0sem comentários ainda

Existe uma vulnerabilidade de injeção de sequência de escape na autenticação Basic do WEBrick empacotado com Ruby. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-10784.

Detalhes

Quando usando autenticação Basic do WEBrick, clientes podem passar strings arbitrárias como nome de usuário. WEBrick produz saídas com o nome de usuário intacto no log, então o atacante pode injetar sequências de escape maliciosas para o log e control characters perigosos podem ser executados no emulador de terminal da vítima.

Essa vulnerabilidade é similar a uma vulnerabilidade já corrigida (Em inglês), mas isso não foi corrigido na autenticação Basic.

Todos os usuários rodando uma versão com essa vulnerabilidade devem atualizá-la imediatamente.

Versões Afetadas

  • Série Ruby 2.2: 2.2.7 e anteriores
  • Série Ruby 2.3: 2.3.4 e anteriores
  • Série Ruby 2.4: 2.4.1 e anteriores
  • anterior à revisão de árvore 58453

Créditos

Obrigado Yusuke Endoh mame@ruby-lang.org por reportar este problema.

History

  • Originalmente publicado em 14 de setembro de 2017 12:00:00 (UTC)

Escrito por usa em 14/09/2017
Traduzido por jcserracampos


CVE-2017-0898: Vulnerabilidade de buffer underrun em Kernel.sprintf

14 de Setembro de 2017, 12:00, por Notícias sobre Ruby - 0sem comentários ainda

Existe uma vulnerabilidade de buffer underrun no método sprintf do módulo Kernel. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-0898.

Detalhes

Se uma string formatada maliciosamente contendo um especificador (*) for passada e um valor negativo enorme também for passado para o especificador, poderá causar buffer underrun. Nessa situação, o resultado poderá conter heap de memória ou o interpretador Ruby poderá parar.

Todos os usuários rodando uma versão com essa vulnerabilidade devem atualizá-la imediatamente.

Versões Afetadas

  • Série Ruby 2.2: 2.2.7 e anteriores
  • Série Ruby 2.3: 2.3.4 e anteriores
  • Série Ruby 2.4: 2.4.1 e anteriores
  • anterior à revisão de árvore 58453

Créditos

Obrigado aerodudrizzt por reportar este problema.

Histórico

  • Originalmente publicado em 14 de setembro de 2017 12:00:00 (UTC)

Escrito por usa em 14/09/2017
Traduzido por jcserracampos


Lançado Ruby 2.3.5

14 de Setembro de 2017, 12:00, por Notícias sobre Ruby - 0sem comentários ainda

Ruby 2.3.5 foi lançado.

Esta versão inclui em torno de 70 correções de bugs após a versão anterior e também inclui diversas correções de segurança. Por favor, confira os tópicos abaixo para detalhes.

Veja o ChangeLog para detalhes.

Problemas Conhecidos

(Esta seção foi adicionada em 15 de setembro de 2017.)

Um incompatibilidade foi encontrado para Ruby 2.3.5. Ruby 2.3.5 não vincula com libgmp e jemalloc. Arrumaremos este problema com a próxima versão, mas se você estiver enfrentando problemas agora e precisa corrigir imediatamente, obtenha um patch deste link:

Download

  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.5.tar.bz2

    SIZE:   14439326 bytes
SHA1:   48302800c78ef9bbfc293ffcc4b6e2c728705bca
SHA256: f71c4b67ba1bef424feba66774dc9d4bbe02375f5787e41596bc7f923739128b
SHA512: 3ecc7c0ac10672166e1a58cfcd5ae45dfc637c22cec549a30975575cbe59ec39945d806e47661f45071962ef9404566007a982aedccb7d4241b4459cb88507df

  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.5.tar.gz

    SIZE:   17836997 bytes
SHA1:   3247e217d6745c27ef23bdc77b6abdb4b57a118f
SHA256: 5462f7bbb28beff5da7441968471ed922f964db1abdce82b8860608acc23ddcc
SHA512: cd6bbba4fb5a0ab5ce7aa6f3b89d021ea742c5aa7934e24b87554d10e2a3233d416051c11aee90f3d8714d168db523a7bf56ef4dafdd256fc8595169c2db496a

  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.5.tar.xz

    SIZE:   11437868 bytes
SHA1:   ef388992fa71cd77c5be960dd7e3bec1280c4441
SHA256: 7d3a7dabb190c2da06c963063342ca9a214bcd26f2158e904f0ec059b065ffda
SHA512: c55e3b71241f505b6bbad78b3bd40235064faae3443ca14b77b6356556caed6a0d055dc2e2cd7ebdb5290ab908e06d2b7d68f72469af5017eda4b29664b0d889

  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.5.zip

    SIZE:   19887946 bytes
SHA1:   09c80f9021fa2bfc04ae30a1939faad03b0f5b14
SHA256: c9971e1ccb6e2f1ab32b1fe05416fce0b19a1cd9ba8fa095c77c4bdf2058e514
SHA512: 6f14d0cc48d6eaf6168316cb45e22af8d2118ba058fd888ce930f12a22cf7e849e2e185cc7c516fe980f30ee9a942accf9d9e2d4b8a2e79c97b87d4bab704495

Comentário de Versão

Obrigado a todos que ajudaram com esta versão.

A manuntenção de Ruby 2.3, incluindo esta versão, é baseado no “Agreement for the Ruby stable version” da Ruby Association.

Escrito por usa em 14/09/2017
Traduzido por jcserracampos


Lançado Ruby 2.2.8

14 de Setembro de 2017, 12:00, por Notícias sobre Ruby - 0sem comentários ainda

Foi lançado Ruby 2.2.8. Esta versão inclui diversas correções de segurança. Por favor, confira os tópicos abaixo para detalhes.

Ruby 2.2 agora está em estado de fase de manutenção de segurança, até o final de março de 2018. Após esta data, manutenção do Ruby 2.2 se encerrará. Recomendamos que você comece planejando a migração para versões mais novas de Ruby, como 2.4 ou 2.3.

Download

  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.8.tar.bz2

    TAMANHO:   13374522 bytes
SHA1:   d851324bf783221108ce79343fabbcd559b9e60b
SHA256: b19085587d859baf9d7763f92e34a84632fceac5cc593ca2c0efa28ed8c6e44e
SHA512: aa1c65f76a51a57d9059a38a13a823112b53850a9e7d6f72c3f3e38d381412014521049f7065c1b00877501b3b554235135d0f308045c2a9da133c766f5b9e46

  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.8.tar.gz

    TAMANHO:   16681654 bytes
SHA1:   15a6fca1bfe0488b24a204708a287904028aa367
SHA256: 8f37b9d8538bf8e50ad098db2a716ea49585ad1601bbd347ef84ca0662d9268a
SHA512: b9d355232c1ca3e17b5d4dcb70f0720da75b82787e45eb4ede281290bf42643665385e55428495eb55c17f744395130b4d64ef78ca66c5a5ecb9f4c3b732fdea

  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.8.tar.xz

    TAMANHO:   10520648 bytes
SHA1:   3a25914aafedc81952899298a18f9c3a4881d2d1
SHA256: 37eafc15037396c26870f6a6c5bcd0658d14b46cd5e191a3b56d89dd22d561b0
SHA512: e21004bee537f0c706f4ac9526507b414ddb6a8d721e8fad8d7fe88992a4f048eb5eb79f8d8b8af2a8b331dcfa74b560490218a1acb3532c2cdb4fb4909da3c9

  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.8.zip

    TAMANHO:   18521461 bytes
SHA1:   3b0142bad47e29f429903f6c4ca84540764b5e93
SHA256: 58bf98b62d21d6cc622e6ef5c7d024db0458c6860199ab4c1bf68cdc4b36fa9d
SHA512: 08cadfa72713f9e3348093c96af4c53f06f681bc29ada2d80f1c55faca6a59a3b2913aa2443bf645fea6f3840b32ce8ce894b358f972b1a295ee0860b656eb02

Comentário de Versão

Obrigado a todos que ajudaram com esta versão, especialmente, com informe de vulnerabilidades.

Escrito por usa em 14/09/2017
Traduzido por jcserracampos


CVE-2017-14064: Vulnerabilidade de exposição de heap no JSON gerado

14 de Setembro de 2017, 12:00, por Notícias sobre Ruby - 0sem comentários ainda

Existe uma vulnerabilidade de exposição de heap no JSON empacotado pelo Ruby. Esta vulnerabilidade recebeu o identificador CVE CVE-2017-14064.

Detalhes

O método generate do módulo JSON aceita opcionalmente uma instância da classe JSON::Ext::Generator::State. Se uma instância maliciosa for passada, o resultado poderá incluir conteúdos do heap.

Todos os usuários rodando uma versão afetada devem fazer upgrade ou usar uma das soluções alternativas imediatamente.

Versões Afetadas

  • Série Ruby 2.2: 2.2.7 e anteriores
  • Série Ruby 2.3: 2.3.4 e anteriores
  • Série Ruby 2.4: 2.4.1 e anteriores
  • antes da revisão do tronco 58323

Soluções Alternativas

A biblioteca JSON também é distribuida como uma gem. Se você não puder fazer upgrade do Ruby, instale uma versão da gem JSON mais nova do que 2.0.4.

Crédito

Agradecimentos a ahmadsherif por reportar este problema.

Histórico

  • Originalmente publicado em 14/09/2017 12:00:00 (UTC)

Escrito por usa em 14/09/2017
Traduzido por jcserracampos



Tags deste artigo: ruby