Ruby 安全漏洞,1.9/2.0 全分支受影响 - 开源中国社区
Ruby 安全漏洞,1.9/2.0 全分支受影响
oschina 2013年05月15日

Ruby 安全漏洞,1.9/2.0 全分支受影响

oschina oschina 发布于2013年05月15日 收藏 3 评论 7

Ruby开发团队今天发布了两个更新版本Ruby 1.9.3-p429和Ruby 2.0.0-p195。

这两个版本主要修复了Ruby DL / Fiddle中的一个安全漏洞:

对象污染绕过漏洞(CVE-2013-2065):受污染的字符串可以通过系统调用来使用,而不受Ruby中$SAFE级别设置约束。


受影响的版本:

  • Ruby 1.9.3 p426之前的所有1.9.x版本
  • Ruby 2.0.0 p195之前的所有2.0版本
  • trunk 40728之前的版本
  • Ruby 1.8版本不受影响

如果你不能升级Ruby,下面这个“猴子补丁”可以作为一种变通方案:

class Fiddle::Function  
  alias :old_call :call  
  def call(*args)  
	if $SAFE >= 1 && args.any? { |x| x.tainted? }  
	  raise SecurityError, "tainted parameter not allowed"  
	end  
	old_call(*args)  
  end  
end  

此外,这两个版本还进行了一些优化,修复了一些小的bug,详细信息:1.9.3 p429 changeLog2.0.0 p195 changeLog

下载地址:

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Ruby 安全漏洞,1.9/2.0 全分支受影响
分享
评论(7)
最新评论
0

引用来自“rubyist”的评论

楼上的不要告诉我你们都用到ruby的safe特性了。。

没用到过,版本控掩面。。。
0
没用过 Fiddle 类 的路过..
0
楼上的不要告诉我你们都用到ruby的safe特性了。。
0
果断下载编译
0
编译中
0
升级ing
0
顶部