Geschrieben von zzak and hone am 19.8.2014
Übersetzt von Quintus
Wir haben 1.9.2-p330 veröffentlicht, das abschließende Release der 1.9.2er-Reihe.
Kurz nach der Bekanntgabe des Unterstützungsendes für 1.9.2 und 1.8.7 wurde eine kritische Sicherheitslücke in 1.9.2 entdeckt. Dieser Sicherheitslücke wurde die CVE-Nummer CVE-2014-6438 zugewiesen.
Dieser Fehler tritt auf, wenn ein langer String mithilfe der
URI-Methode decode_www_form_component
verarbeitet wird und kann in
einem verwundbaren Ruby wie folgt reproduziert werden:
Da dieses Problem kurz vor der Veröffentlichung von 1.9.3 entdeckt und behoben wurde, sind die Versionen 1.9.3-p0 und später nicht betroffen; jedoch sind Versionen der 1.9.2er-Reihe älter als 1.9.2-p330 betroffen.
Sie können den ursprünglichen Fehlerbericht im Ticketsystem nachlesen: https://bugs.ruby-lang.org/issues/5149#note-4
Download
-
https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.bz2
SIZE: 9081661 bytes MD5: 8ba4aaf707023e76f80fc8f455c99858 SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f
-
https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.gz
SIZE: 11416473 bytes MD5: 4b9330730491f96b402adc4a561e859a SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9
-
https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.zip
SIZE: 12732739 bytes MD5: 42d261b28d1b7e500dd3bdbdbfba7fa5 SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
Wir ermutigen Sie dazu, auf eine stabile und unterstützte Version von Ruby zu aktualisieren.