2.0 全分支受影响

Ruby开发团队今天发布了两个更新版本Ruby 1.9.3-p429和Ruby 2.0.0-p195。

这两个版本主要修复了Ruby DL / Fiddle中的一个安全漏洞：对象污染绕过漏洞（CVE-2013-2065）：受污染的字符串可以通过系统调用来使用，而不受Ruby中$SAFE级别设置约束。
受影响的版本：

Ruby 1.9.3 p426之前的所有1.9.x版本
Ruby 2.0.0 p195之前的所有2.0版本
trunk 40728之前的版本
Ruby 1.8版本不受影响

如果你不能升级Ruby，下面这个“猴子补丁”可以作为一种变通方案：class Fiddle::Function
alias :old_call :call
def call（*args）
if $SAFE >= 1 && args.any？ { |x| x.tainted？ }
raise SecurityError, "tainted parameter not allowed"
end
old_call（*args）
end
end 此外，这两个版本还进行了一些优化，修复了一些小的bug，详细信息：1.9.3 p429 changeLog、2.0.0 p195 changeLog

下载地址：

ruby-1.9.3-p429：ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p429.zip

ruby-2.0.0-p195：ftp://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p195.zip

Microsoft Lync 远程代码执行漏洞（CVE-2013-1302）（MS13-041）Microsoft .NET Framework 身份验证绕过漏洞（CVE-2013-1337）（MS13-040）相关资讯 Ruby安全漏洞

Ruby DL和Fiddle模块已污染对象处（05/19/2013 06:28:25）
Ruby "ruby-openid"拒绝服务漏洞（（03/05/2013 21:01:12）
Ruby "error.c"多个安全绕过漏洞（10/14/2012 14:50:09）

Ruby extlib参数解析漏洞（CVE-2013 （03/05/2013 21:03:17）
Ruby本地文件创建漏洞（CVE-2012- （10/20/2012 06:52:30）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款