Доступны (https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../) корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей (https://blog.rubygems.org/2019/03/05/security-advisories-201...) в системе управления пакетами RubyGems:
- CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в ensure_loadable_spec на стадии проверки перед установкой);
- CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar;
- CVE-2019-8321: возможность подстановки escape-последовательностей через обработчик Gem::UserInteraction#verbose;
- CVE-2019-8322: возможность подстановки escape-последовательностей через команду "gem owner";
- CVE-2019-8323: возможность подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response);
- CVE-2019-8325: возможность подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов).
Кроме того, представлено (https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6.../) обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением трёх уязвимостей:
- CVE-2019-5420 (https://www.openwall.com/lists/oss-security/2019/03/13/3) - потенциально позволяет удалённо выполнить свой код на сервере, при работе Rails в режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно предугадать автоматически генерируемый токен режима для разработчиков, знание которого позволяет добиться выполнения своего кода;- CVE-2019-5418 (https://www.openwall.com/lists/oss-security/2019/03/13/5) - уязвимость в Action View, позволяющая получить содержимое произвольных файлов из файловой системы сервера через отправку специально оформленного HTTP-заголовка Accept при наличии в коде обработчика "render file:".
- CVE-2019-5419 (https://www.openwall.com/lists/oss-security/2019/03/13/4) - DoS-уязвимость в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на CPU через манипуляции с содержимым HTTP-заголовка Accept;
URL: https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50321
Говорили им, ставьте из репозитария, нет, хотим гемов накатить :}
В дебиане даже в сиде сейчас 2.5.1.
Потому что ментейнер, пакета с рубями давно на него болт положил, пару раз написал все в black hole
Обновления безопасности в первую очередь идут в стейбл, например.
В стейбле тоже 2.5.1, например. Потому и приходится юзать rvm/rbenv.
Интересный у тебя стейбл.ruby -v
ruby 2.3.3p222 (2016-11-21) [x86_64-linux-gnu]
А кто-то пользуется встроенной версией рубей?
Зависит от задачи. Если надо Yast запускать, то системный Руби подменять - опасно. Впрочем, там где Yast, там и Руби свежий.
Обновления безопасности сначала в sid _и_ стейбл, а затем в тестинг.
Врёте, 2.5.3 в unstable и testing
пардонте видемо раздуплился немного но 2.6 так и не видно https://metadata.ftp-master.debian.org/changelogs//main/r/ru...
А другие гемы тоже ставить из репозитория? Вообще ставить Ruby или Python из реп для вебразработки так себе идея, есть проекты которые требуют разных версий интерпретаторов.
> А другие гемы тоже ставить из репозитория?Да.
> есть проекты которые требуют разных версий интерпретаторов
Можно просто аккуратно выбирать, чтобы не вляпаться.
Один из громадных плюсов вебразработки на Ruby или Python это то что просто создаешь виртуальное окружение и настраиваешь его как тебе надо под любой проект. При этом это делается на любом серверном дистрибутиве, которые обычно не отличаются свежестью софта в репозиториях. Тоже самое кстати замечательно работает с js.