Artykuły dotyczące tematu: Ruby

dodany: 28.06.2013 | tagi: , , , , ,

Aktualizacja Ruby naprawia lukę MitM w obsłudze SSL

0

Implementacja OpenSSL w Ruby okazała się niebezpieczna. Dzięki znalezionej luce możliwe jest ominięcie sprawdzania hostname. Jeżeli w alternatywej nazwie X509 certyfikatu (thesubjectAltName) znajduje się znak pusty, przykładowo “ruby-lang.org\0example.com”, Ruby zinterpretuje to jako “ruby-lang.org”.

Luka zyskała oznaczenie CVE-2013-4073. Zalecana jest aktualizacja do najnowszych wersji poszczególnych gałęzi, tj. 1.8.7p374 (które naprawia także lukę DoS w REXML), 1.9.3p448 oraz 2.0.0p247.

dodany: 21.06.2013 | tagi: , , , ,

Niemiecka firma dostarczy aktualizacje dla Ruby on Rails 2.3

0

Jeżeli z jakiegoś powodu koniecznie chcesz używać Ruby on Rails 2.3, pomimo nadchodzącego wydania 4.0, powinieneś zainteresować się pewną niemiecką firmą. Makandra zamierza dostarczać aktualizacje bezpieczeństwa dla niewspieranego już RoR 2.3.x; poprawki od deweloperów frameworku otrzymują wyłącznie wersje od 3.2 w górę.

Jednocześnie autorzy RoR polecili płatne wsparcie Makandry. Firma oferuje 3 pakiety pod nazwą Rails Long Term Support. Przedstawiciel poinformował również, że nadal będą publikowane darmowe poprawki, ale nawet do 10 dni później. Jednocześnie, jeśli użytkownicy i klienci wykażą takie zainteresowanie, firma rozważy prace nad Rails 3.0 i 3.1.

dodany: 09.06.2013 | tagi: , , ,

OpenSUSE 13.1 zaoferuje YaST-a napisanego w Ruby

0

YaST, czyli skrót od yet another setup tool, narzędzia używanego w systemie openSUSE oraz jego płatnych odpowiednikach, ma zostać przepisany w języku Ruby i udostępniony w nadchodzącym wydaniu openSUSE 13.1.

Do tej pory YaST był tworzony we własnym języku programowania YCP. W związku z tym rozwijaniem programu zajmowali się głównie developerzy dystrybucji znający go. Zmiana może zachęcić programistów, nie tylko ze społeczności openSUSE, do współpracy przy rozwoju YaST-a.

Uaktualniony kod pojawił się już w rozwojowym wydaniu o nazwie Factory. Wydanie 13.1 zaplanowane jest na początek sierpnia.

Więcej informacji o nowej wersji YaST-a można znaleźć na forum dystrybucji oraz liście dyskusyjnej.

dodany: 25.04.2013 | tagi: , , ,

Ukazała się kolejna wersja Gitlab 5.1

1

Ukazała się kolejna wersja Gitlab, otwartoźródłowej i darmowej alternatywy dla serwisów takich jak Github do instalacji na własnych serwerach. Oprogramowanie to jest tworzone w języku Ruby i oparte na frameworku Ruby on Rails.

Najważniejsze zmiany wyróżnione przez autorów, to refaktoryzacja kodu odpowiedzialnego za kopie zapasowe oraz poprawiona wydajność wraz ze zmniejszonym użyciem pamięci. Poprawki naprawiają także możliwości wykorzystania XSS.

Pełna lista zmian znajduje się na blogu projektu.

dodany: 12.11.2012 | tagi: ,

Aktualizacja Ruby usuwa podatność na hash-flooding

0

Programiści Ruby wydali aktualizację do serii 1.9.3 ich języka oprogramowania, która naprawia lukę DoS. Poprawka oznaczona jako 1.9.3-P327 koryguje problem hash-floodingu, który może być wykorzystany przez atakującego. Skutkiem wykorzystania tej luki jest poważne obciążenie procesora, które może prowadzić do Denial-of-Service. Problem może być powodowany błędem podczas analizowania specjalnie spreparowanych sekwencji ciągów.

Twórcy podkreślają, że luka jest podobna do innego powszechnego problemu DoS w algorytmach hashowania i wypłynęła ona w kilku programach włączając w to wersję 1.8.7 Ruby. Programiści wówczas nie podejrzewali, że wersje 1.9.x zostaną dotknięte tym problemem, bo użyto w nich zmodyfikowanej funkcji MurmurHash. Jednak deweloper Jean-Philippe Aumasson, jeden z projektantów SipHash znalazł kolejny sposób na tworzenie sekwencji ciągów, które mogą zderzyć ze sobą ich ścieżki hashowania. W ten sposób doszło do zmiany MurmurHash na SipHash 2-4.

Wszystkie wersje Ruby 1.9.x przed 1.9.3.P327, jak również 2.0, są narażone. Użytkownicy korzystający z tych wersji powinni zastosować aktualizację najszybciej, jak to możliwe. Aktualizacja dodatkowo poprawia także kilka błędów niezwiązanych z bezpieczeństwem.

Pełna lista poprawek w aktualizacji znajduje się w dzienniku zmian. Ruby 1.9.3-P327 jest dostępna do pobrania ze strony projektu.