LINUX.ORG.RU

Выпущены Ruby 2.6.10, 2.7.6, 3.0.4, 3.1.2 с исправлениями уязвимостей

 , , ,


0

1

А именно:

  • CVE-2022-28738: двойное высвобождение памяти в регулярных выражениях. Проявляется на специально созданных входных строках. Хоть в целом и не следует создавать регулярные выражения из строк, полученных из недоверенных источников — уязвимость подтверждена и исправлена. Затронутые ветки: 3.0 и 3.1, ветки 2.6 и 2.7 не затронуты.

  • CVE-2022-28739: чтение данных за пределами буфера при конвертации строк в числа с плавающей точкой. Присутствует во внутренней функции, использующейся, например, в Kernel#Float и String#to_f. Обычно приводит к ошибке сегментации и краху процесса, но в определённых условиях может использоваться для чтения памяти за пределами буфера. Затронуты ветки 2.6, 2.7, 3.0 и 3.1.

Спасибо piao за обнаружение уязвимостей.

Также следует отметить, что, начиная с этих выпусков, поддержка ветки 2.6 прекращается и исправлений новых уязвимостей не будет — возможны исправления только очень серьёзных регрессий. Ветка 2.7 же переходит из фазы полноценной поддержки в фазу обновлений безопасности, которая будет длиться год. Рекомендуется уже сейчас начать перевод проектов на использование версий Ruby 3.0 или 3.1.

Скачать:

>>> 3.1.2

>>> 3.0.4

>>> 2.7.6

>>> 2.6.10

Ответ на: комментарий от Turbid

Синтаксис гибкий, отчего писать на нем приятнее.

То самое «есть много разных способов сделать одно и тоже» в Ruby против «есть правильный способ что-либо сделать и неправильные» в Python.

Leupold_cat ★★★★ ()
Последнее исправление: Leupold_cat (всего исправлений: 2)

хорошее дело «губИ на гейсах» не назовут

Syncro ★★★★★ ()

На прошлый неделе ruby в CentOS 7.9 обновился до 2.0.0.648-39.el7_9, я еще подумал к чему бы это.

mx__ ★★★★★ ()

Ruby 2.6.0 Released

25 Dec 2018

поддержка ветки 2.6 прекращается

13.04.22

Ветка ЯП прожила даже меньше, чем живёт релиз нормального дистрибутива.

Ну что ж, для школьных проектов этого достаточно, наверное.

muon ★★★★ ()
Ответ на: комментарий от derlinux

Чем это лучше Perl?

Всё лучше Perl. Даже руби, и не говоря уже о питоне. Даже баш, который периодически вызывает рвотный рефлекс. Даже js лучше.

skyman ★★ ()
Ответ на: комментарий от muon

Ветка ЯП прожила даже меньше, чем живёт релиз нормального дистрибутива.

А смысл древние ветки тянуть бесконечно? Тем более, что это не коммерческая контора. У меня вон код, написанный под 1.8, мигрировал с минимальными правками. Причем давно уже не приходилось что-то править. Ну с 3.х может и будут приключения, посмотрим.

bread ()
Ответ на: комментарий от skyman

Всё лучше Perl.

Это позиция кодерков, которым подавай что послаще. И пофиг, как юзер будет потом корячиться с их продукцией. Для скриптов под никсы ничего практичнее перла нет.

bread ()
Ответ на: комментарий от skyman

Ruby/Node.JS по скорости запуска дико всасывают, например. Интерпретатор Perl быстро запускается, по диску не шарится и памяти много не жрёт, если не нужно. Для демонов всяких в целом пофиг, сколько оно там стартует, а для мелких скриптиков и тем более однострочников важно.

bodqhrohro_is_back ()
Ответ на: комментарий от bread

Не только Румыния

Я в курсе, ещё Молдова и Чад как минимум.

И сине-жёлтый ажно у трёх стран (отчего шведский мурал с членом многие даже приписывают не той стране).

Забавно, что эта сепаратистская символика используется и сейчас.

А кубанские казаки и вовсе используют приветствие «Слава Кубани!» — «Героям слава!», замечено мною пару лет назад в эфире Поля Чудес.

bodqhrohro_is_back ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.