Ruby 安全漏洞,1.9/2.0 全分支受影響
Ruby 開發團隊今天發布了兩個更新版本 Ruby 1.9.3-p429 和 Ruby 2.0.0-p195。
這兩個版本主要修復了 Ruby DL / Fiddle 中的一個安全漏洞:
對象污染繞過漏洞(CVE-2013-2065):受污染的字符串可以通過系統調用來使用,而不受 Ruby 中$SAFE 級別設置約束。
</blockquote>受影響的版本:
- Ruby 1.9.3 p426 之前的所有 1.9.x 版本
- Ruby 2.0.0 p195 之前的所有 2.0 版本
- trunk 40728 之前的版本
- Ruby 1.8 版本不受影響
</ul>如果你不能升級 Ruby,下面這個“猴子補丁”可以作為一種變通方案:
class Fiddle::Function alias :old_call :call def call (*args) if $SAFE >= 1 && args.any? { |x| x.tainted? } raise SecurityError, "tainted parameter not allowed" end old_call (*args) end end此外,這兩個版本還進行了一些優化,修復了一些小的 bug,詳細信息:1. 9.3 p429 changeLog、2. 0.0 p195 changeLog
下載地址:
- ruby-1.9.3-p429:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.zip
- ruby-2.0.0-p195:ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.zip
來自: www.iteye.com本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!