В Rubygems (http://Rubygems.org,), системе управления пакетами для приложений на языке Ruby, устранено (https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulner.../) несколько уязвимостей. Проблемы устранены в RubyGems 2.6.13 и пока не исправлены в релизах Ruby 2.2.7, 2.3.4 и 2.4.1. Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи. Среди исправленных уязвимостей:
- Уязвимость в инсталляторе, позволяющая при установке специально оформленного пакета переписать произвольные файлы в системе;
- Уязвимость, связанная с применением escape-последовательностей;
- Возможность подмены результата DNS-запроса;
- DoS-уязвимость в реализации команды "query".URL: https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulner.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=47094
пошли по пути npm leftpad... ничему не учаться...
Хипстеры везде одинаковые. Надутые, самонадеяные, готовые свернуть горы. И делающие детские ошибки во всем чем можно. Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.
Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут. А в некотрые языки _встраивают_ возможность забирать гов*ецо прямо с github.com. Хорошо, что до рубей этот позор не добрался... wait, o shi- у них же есть ruby gem... Хипстота... она везде, неужели мы обречены ходить по жиденькому как корова по льду?... потому что жизнь - боль и деградация неизбежна :(
> Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут.в слове lts третья буква означает support - а у хипсторов ни желания, ни времени на сопровождение. Скорей-скорей, прогресс двигай давай, о совместимости не думай, это удел лохов!
> И делающие детские ошибки во всем чем можно.потому что считают что мир до них - "окаменелое г-но", и тратить время на его изучение незачем.
> Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.
а толку? Приедет тебе подписанный хз кем (ибо crowd-development) пакет, а в нем /etc/shadow вместе с passwd. Или сразу вообще sshd. И чексумма правильная, я ее щас правильно посчитаю.
Удивительно было бы, если бы они додумались интегрировать свои корявки в существующие системы управления пакетами (которые в том числе умеют их обломать при конфликтах файлов), а не мир с нуля пересоздавать. Но из новых-модных хипста-языков это не умеет ни один, зато каждый изобрел по велосипеду, некоторые даже по два - один без колес, второй без руля (pecl/pear, хехе). Впрочем, перл вот умел - и никто кроме freebsd так и ниасилил использовать, так что это обоюдно - модные хипста-системы тоже ни в чем таком не заинтересованы и не были никогда.
Ставьте все в хомяк. Юзера ruby-run, когда навернется - откатите снапшот его хомяка. Ой..у вас не zfs? Ну тогда трахайтесь с регулярными архивациями.
такое г этот rubygems. Я вот уже пятый год воюю на работе чтобы избавиться от ruby, nodejse и тому подобной хипстоты типа mongodb. пока безуспешно... а оно и понятно хипстеры дешевле. Походу так и будим мы всем миром в полном... "жиже"
> Я вот уже пятый год воюю на работеЭто вместо того, чтобы найти другого работодателя?
Ищю я, потихоньку но $120К + бонус не так легко то найти. Да и меня твои на мыло тоже как-то не очень люблю. А туда куда я очень хочу мня не пускают - требуют гражданство. Так что походу так и буду я этот крест с ссылки таскать
> Ищю я, потихоньку но $120К + бонус не так легко то найти.
> Да и меня твои на мыло тоже как-то не очень люблю.
> А туда куда я очень хочу мня не пускают - требуют
> гражданство. Так что походу так и буду я этот крест с
> ссылки таскать*шило
Как будто, во всех других языках и пакет менеджеров не бывает уязвимостей, за новость спасибо пойду обновлю.
У меня руби в докере, я хз, что он там страшного может натворить.
> У меня руби в докереЗапущенный случай... Такое не лечится... какое-то время можно протянуть благодаря смузи...