The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Ruby 3.0.1 с устранением уязвимостей

06.04.2021 11:45

Сформированы корректирующие релизы языка программирования Ruby 3.0.1, 2.7.3, 2.6.7 и 2.5.9, в которых устранены две уязвимости:

  • CVE-2021-28965 - уязвимость во встроенном модуле REXML, которая при разборе и сериализации специально оформленного XML-документа может привести к созданию некорректного XML-документа, структура которого не совпадает с оригиналом. Опасность уязвимости сильно зависит от контекста, но не исключается организация атак на некоторые приложения, использующие REXML.
  • CVE-2021-28966 - специфичная для платформы Windows уязвимость, позволяющая создать произвольный каталог или файл в частях ФС, в которых разрешена запись для пользователя, с правами которого выполняется процесс Ruby. Проблема вызвана неверной обработкой префикса в методе Dir.mktmpdir, в котором не исключается подстановка конструкций вида "..\\". Для атаки процесс должен использовать внешние данные при формировании значения префикса.


  1. Главная ссылка к новости (https://www.ruby-lang.org/en/n...)
  2. OpenNews: Устранение нарушения GPL в библиотеке mimemagic привело к сбою в Ruby on Rails
  3. OpenNews: Доступен интерпретатор mruby 3.0
  4. OpenNews: Выпуск языка программирования Ruby 3.0
  5. OpenNews: В RubyGems выявлено 724 вредоносных пакета
  6. OpenNews: Релиз 19.3.0 виртуальной машины GraalVM и реализаций Python, JavaScript, Ruby и R на её основе
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54911-ruby
Ключевые слова: ruby
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:21, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когда не надо лишних слов...
     
  • 1.2, Аноним (2), 12:22, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проблема вызвана неверной обработкой префикса в методе Dir.mktmpdir, в котором не исключается подстановка конструкций вида "..\\".

    Это же не баг, а фича. Префикс на то и префикс, чтобы туда можно было писать любой путь, хоть абсолютный, хоть относительный. Разве нет?

     
     
  • 2.3, Аноним (1), 12:30, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот ты нуб
     

  • 1.5, Аноним (5), 12:47, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А что про питон не пишите? У меня вон ускорился скрипт на 10% ни с того ни с сего, там было что-то такое?
     
     
  • 2.6, Аноним (6), 12:57, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    тебя троянец пожалел и отпустил
     
     
  • 3.7, Аноним (5), 13:13, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да не, я знаю сколько времени код исполняется, там тупо перебор строк на смеси си и питона. Было 10+ секунд стабильно, стало 9, ничего кроме версии питона не поменялось (обновление пришло позавчера).
     
     
  • 4.8, Аноним (8), 13:36, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Убрали майнер.
     
     
  • 5.14, Аноним (5), 17:23, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это я забыл часть отладки. Уж думал, и правда ускорилось что-то, хотя с чего? Аж расстроился и пересобрал с -fno-plt (~0.3 секунды быстрее), pgo+lto (~0.6 секунды быстрее). Но новости всё равно могли бы и писать.
     
  • 4.10, Аноним (6), 13:58, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, фраза

    > У меня вон ускорился скрипт на 10% ни с того ни с сего

                                         ^^^^^^^^^^^^^^^^^^^
    логически как-то не вяжется с

    > ничего кроме версии питона не поменялось (обновление пришло позавчера).

    Наверное, если действительно интересно, надо внимательно прочитать ченджлог.

     
     
  • 5.16, Аноним (5), 17:32, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То-то и оно, я с утра смотрю что-то не так -- всё быстрее работает. Думаю, может, оптимизаций каких завезли, а я и не заметил? Потом я вспомнил, что поменял параметры фортрана. И отключил отладку. Но теперь я перекомпилировал питон с pgo и отключил девелопер мод в интерпретаторе, стало на 20% быстрее. Если отключить девелопер мон, ускоряется ещё в 2 раза. Т.е. 10 секунд превращаются в 4, что уже вполне сносно учитывая количество вычислений.
     
  • 2.9, Леголас (ok), 13:55, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня вон ускорился скрипт на 10% ни с того ни с сего, там было что-то такое?

    Там в заметках к выпускам всегда куча разных оптимизаций -- читайте, Интернет зачем вам? А ещё и новость можете написать)

     
     
  • 3.20, Led (ok), 23:45, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты слишком много хочешь от гвидобейсикокодера.
     

  • 1.11, Аноним (11), 14:19, 06/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Не удивлён насчёт второго бага. Когда API системы такое, что вперемешку идёт ЧТО нужно создать и ГДЕ это надо создать, и всё это работает только на основе мешанины сепараторов ? / // \ \\ \\\ : .
     
     
  • 2.13, Аноним (11), 14:21, 06/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более менее надёжно было бы если и добавлять поддержку префиксов, то делать жёсткое ограничение на [a-z] и на всё остальное ругаться. И то сюда попадут всякие служебные con prn aux
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру