The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Корректирующие выпуски Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 с устранением уязвимостей

12.04.2022 21:23

Сформированы корректирующие релизы языка программирования Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, в которых устранены две уязвимости:

  • CVE-2022-28738 - двойное освобождение памяти (double-free) в коде компиляции регулярных выражений, возникающее при передаче специально оформленной строки при создании объекта Regexp. Уязвимость может быть эксплуатирована при использовании в объекте Regexp непроверенных внешних данных.
  • CVE-2022-28739 - переполнение буфера в коде преобразования из строки в число с плавающей запятой. Потенциально уязвимость может быть эксплуатирована для получения доступа к содержимому памяти при обработке непроверенных внешних данных в таких методах, как Kernel#Float и String#to_f.


  1. Главная ссылка к новости (https://www.ruby-lang.org/en/n...)
  2. OpenNews: Выпуск языка программирования Ruby 3.1
  3. OpenNews: Уязвимости в LibreCAD, Ruby, TensorFlow, Mailman и Vim
  4. OpenNews: Шутка про возраст женщин привела к изменению кодекса поведения Ruby
  5. OpenNews: Обновление Ruby 3.0.1 с устранением уязвимостей
  6. OpenNews: Устранение нарушения GPL в библиотеке mimemagic привело к сбою в Ruby on Rails
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57012-ruby
Ключевые слова: ruby
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:23, 12/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я тоже когда-то думал что это адекватный язык программирования.
     
     
  • 2.2, Аноним (2), 22:48, 12/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Но потом ты написал идеальный ЯП без уязвимостей "Глагол" и передумал?
     
  • 2.10, Аноним (10), 05:59, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > переполнение буфера в коде преобразования из строки в число

    Это надо же так было умудриться. "из строки в число"...

     

  • 1.3, Анонн (?), 23:06, 12/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Смешно, если посмотреть диф https://github.com/ruby/ruby/compare/v3_1_1...v3_1_2 ,
    то там фиксы в двух файлах:
    missing/dtoa.c
    regcomp.c

    Вот так, даже такому высокоуровнему языку программирования, да еще и со сборщиком мусора, может нагадить сишечка))

     
     
  • 2.4, Аноним (4), 00:23, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    или это вина криворукого кодера :)
     
  • 2.6, Аноним (6), 01:16, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А нахрена они переизобретали всякие dtoa?
     
     
  • 3.13, Бывалый смузихлёб (?), 10:02, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы, если нечего будет придумать для обновлений, можно было выпустить исправления велосипедов и костылей и изобразить активную работу
     

  • 1.5, Смузихлёб (?), 01:04, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Хороший язык программирования, но его время прошло. Сейчас это исключительно поддержка legacy проектов (как и java).
     
     
  • 2.7, А где же каменты (?), 02:12, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А за каким языком будущее?
     
     
  • 3.8, васёк (?), 02:32, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    JavaScript
     
     
  • 4.15, Некто с пивом (?), 12:51, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    После ruby java script выглядит архаикой. От чувства неполноценности появляются разные там кофейные скрипты ...
     
     
  • 5.21, Mikeeeee (?), 22:33, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И opal'ы (opalrb.com)
     
  • 3.9, YetAnotherOnanym (ok), 03:08, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он ещё не создан.
     
     
  • 4.12, Аноним (12), 09:05, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    но его время уже прошло
     
  • 3.11, Аноним (10), 06:01, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > за каким языком будущее?

    Как ни странно, за сисями.

     
  • 3.16, Смузихлёб (?), 13:35, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А за каким языком будущее?

    JavaScript. Нравится это вам или нет, но сегодня всё завязано на JS: от конфигов в формате JSON, до пакетных менеджеров, вэба, мобильных и электрон-приложений. Кстати, как для вэба, то это самое лучшее решение из-за одного языка для бэка и фронта.

     
     
  • 4.18, Некто с чаем (?), 14:32, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Никогда такого не было... и вот опять...
    Специалист подобен флюсу: полнота его односторонняя
     
  • 2.14, Аноним (14), 11:22, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы так договоритесь до того, что время питона прошло.
     
     
  • 3.17, Смузихлёб (?), 13:40, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > время питона прошло

    Глобально – да. Хайп утихает. Со временем питон займёт свою нишу матана и прочей научной хрени, неподсильной мирскому люду.

     
     
  • 4.19, СтарыйПитон (?), 17:08, 13/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Плюс к этому Python удобно использовать когда bash портянка больше видимой области экрана.
     
     
  • 5.22, одинразнерубист (?), 03:37, 14/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    СтарыйПитон, это получается, в bash портянке нельзя запиливать функции, а в питоне можно?
     

  • 1.20, Аноним (20), 17:42, 13/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда же мы увидим от альтлинуксоделов реализацию отечественного дистрибутива языка Ruby по имени BottleRuby? Доколе наши силовики будут сидеть на неимпортозамещённом японском треше от Мацумото? Вы хотите, чтобы они сидели и на ActiveRuby с PassiveRuby, которые стучат в ЦРУ?

    Анон опеннета, помоги альттлинуксоидам! Пересади силовиков на BottleRuby!

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру