https://www.opennet.ru/openforum/vsluhforumID3/112095.html В Rubygems (http://Rubygems.org,), системе управления пакетами для приложений на языке Ruby, устранено (https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulnerabilities-in-rubygems/) несколько уязвимостей. Проблемы устранены в RubyGems 2.6.13 и пока не исправлены в релизах Ruby 2.2.7, 2.3.4 и 2.4.1. Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи. Среди исправленных уязвимостей:<br><br><br>- Уязвимость в инсталляторе, позволяющая при установке специально оформленного пакета переписать произвольные файлы в системе;<br>- Уязвимость, связанная с применением escape-последовательностей;<br>- Возможность подмены результата DNS-запроса;<br>- DoS-уязвимость в реализации команды "query".<br><br><br><br>URL: https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulnerabilities-in-rubygems/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=47094<br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#16 Fri, 01 Sep 2017 20:17:35 GMT &gt; У меня руби в докере<br><br>Запущенный случай... Такое не лечится... какое-то время можно протянуть благодаря смузи...<br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#15 Thu, 31 Aug 2017 14:46:02 GMT Как будто, во всех других языках и пакет менеджеров не бывает уязвимостей, за новость спасибо пойду обновлю.<br>У меня руби в докере, я хз, что он там страшного может натворить.<br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#14 Thu, 31 Aug 2017 13:45:53 GMT &gt; Ищю я, потихоньку но $120К + бонус не так легко то найти. <br>&gt; Да и меня твои на мыло тоже как-то не очень люблю. <br>&gt; А туда куда я очень хочу мня не пускают - требуют <br>&gt; гражданство. Так что походу так и буду я этот крест с <br>&gt; ссылки таскать <br><br>*шило <br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#13 Thu, 31 Aug 2017 13:45:23 GMT Ищю я, потихоньку но $120К + бонус не так легко то найти. Да и меня твои на мыло тоже как-то не очень люблю. А туда куда я очень хочу мня не пускают - требуют гражданство. Так что походу так и буду я этот крест с ссылки таскать<br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#12 Thu, 31 Aug 2017 03:34:03 GMT &gt; Я вот уже пятый год воюю на работе<br><br>Это вместо того, чтобы найти другого работодателя?<br><br>http://static.diary.ru/userdir/1/0/6/0/1060566/74602406.jpg<br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#11 Wed, 30 Aug 2017 22:55:44 GMT такое г этот rubygems. Я вот уже пятый год воюю на работе чтобы избавиться от ruby, nodejse и тому подобной хипстоты типа mongodb. пока безуспешно... а оно и понятно хипстеры дешевле. Походу так и будим мы всем миром в полном... "жиже"<br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#10 Wed, 30 Aug 2017 07:21:06 GMT &gt; Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут.<br><br>в слове lts третья буква означает support - а у хипсторов ни желания, ни времени на сопровождение. Скорей-скорей, прогресс двигай давай, о совместимости не думай, это удел лохов!<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/112095.html#9 Wed, 30 Aug 2017 07:06:51 GMT &gt; И делающие детские ошибки во всем чем можно.<br><br>потому что считают что мир до них - "окаменелое г-но", и тратить время на его изучение незачем.<br><br>&gt; Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.<br><br>а толку? Приедет тебе подписанный хз кем (ибо crowd-development) пакет, а в нем /etc/shadow вместе с passwd. Или сразу вообще sshd. И чексумма правильная, я ее щас правильно посчитаю.<br><br>Удивительно было бы, если бы они додумались интегрировать свои корявки в существующие системы управления пакетами (которые в том числе умеют их обломать при конфликтах файлов), а не мир с нуля пересоздавать. Но из новых-модных хипста-языков это не умеет ни один, зато каждый изобрел по велосипеду, некоторые даже по два - один без колес, второй без руля (pecl/pear, хехе). Впрочем, перл вот умел - и никто кроме freebsd так и ниасилил использовать, так что это обоюдно - модные хипста-системы тоже ни в чем таком не заинтересованы и не были никогда.<br><br>Ставьте все в хомяк. Юзера ruby-run, когда https://www.opennet.ru/openforum/vsluhforumID3/112095.html#8 Wed, 30 Aug 2017 07:05:37 GMT Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут. А в некотрые языки _встраивают_ возможность забирать гов*ецо прямо с github.com. Хорошо, что до рубей этот позор не добрался... wait, o shi- у них же есть ruby gem... Хипстота... она везде, неужели мы обречены ходить по жиденькому как корова по льду?... потому что жизнь - боль и деградация неизбежна :(<br>