Sortie de la version 1.9.3-p362 de Ruby
À cette période de l'année, comme à notre habitude, nous venons de publier une nouvelle version de Ruby, la 1.9.3-p362.
Posté par Bruno Michel le 2012-12-27
Sortie de la version 1.9.3-p327 de Ruby
La version 1.9.3-p327 de Ruby est sortie. Elle inclut un correctif de sécurité ainsi que la correction d'autres bugs mineurs :
Posté par Bruno Michel le 2012-11-11
Ruby 1.9 vulnérable à un déni de service par collision sur le hachage (CVE-2012-5371)
Une attaque a été découverte pour réaliser un déni de service par collision sur la fonction de hachage des chaînes de caractères utilisée par les versions 1.9 de Ruby. Cette vulnérabilité est différente de CVE-2011-4815 pour Ruby 1.8.7. Tous les utilisateurs de Ruby 1.9 sont encouragés à mettre à jour vers ruby-1.9.3 patchlevel 327 pour bénéficier du correctif de sécurité.
Posté par Bruno Michel le 2012-11-11
Vulnérabilité de contournement de $SAFE via Exception#to_s et NameError#to_s (CVE-2012-4464, CVE-2012-4466)
Des vulnérabilités ont été découvertes sur les méthodes Exception#to_s, NameError#to_s et name_err_mesg_to_s(), cette dernière faisant partie de l'API interne de l'interpréteur Ruby. Une personne malveillante peut contourner la vérification de $SAFE en utilisant un de ces trous de sécurité.
Posté par Bruno Michel le 2012-10-13
Sortie de la version 1.9.3-p286 de Ruby
La version 1.9.3-p286 de Ruby a été publiée.
Posté par Bruno Michel le 2012-10-13
Création non-intentionnelle de fichiers
Une vulnérabilité a été découverte, qui permet la création non-intentionnelle de fichiers en insérant de manière bien choisie des caractères NUL dans le chemin des fichiers.
Posté par Bruno Michel le 2012-10-13
Sortie de la version 1.8.7-p370 de Ruby
Comme nous vous l'avions expliqué précédemment, nous mettons à votre disposition une nouvelle version de Ruby 1.8.7 qui ne comporte que des corrections de bugs.
Posté par Bruno Michel le 2012-06-29
Rails Girls Paris et Ruby Lugdunum
La communauté Ruby française va avoir le droit à deux événements importants au mois de juin. Le premier, Rails Girls Paris, se tiendra les 15 et 16 juin à Paris. Le second, Ruby Lugdunum, se déroulera juste après, les 22 et 23 juin, à Lyon.
Posté par Bruno Michel le 2012-05-12
Sortie de Ruby 1.9.3-p125
La version 1.9.3-p125 de Ruby est sortie. Elle inclut un correctif de sécurité pour l'extension OpenSSL de Ruby et corrige d'autres bugs.
Posté par Bruno Michel le 2012-02-16
Correction d'une faille de sécurité dans le module OpenSSL : "0/n splitting" comme mesure préventive contre l'attaque TLS BEAST.
Dans OpenSSL, l'option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS pour les
connections SSL est utilisée pour se prémunir d'une vulnérabilité de
TLS-CBC-IV. Il s'agit d'une faille bien connue de TLSv1/SSLv3, qui
est revenue sur le devant de la scène sous le nom d'attaque BEAST
(CVE-2011-3389). Les discussions à ce sujet sont consultables sur le
Ruby Bug Tracker.
Posté par Jean-Denis Vauguet le 2012-02-16