由 zzak and hone 发表于 2014-08-19
翻译: dandananddada
1.9.2 版本最后一个版本 1.9.2-p330 已经发布。
在宣布终止 1.8.7 和 1.9.2 版本不久后,1.9.2 版本发现一个严重的安全性问题。 这个风险的 CVE 识別号已经被指派为 CVE-2014-6438。
当使用 URI的 decode_www_form_component
方法去解析长字符串时会出现这个错误。
在之前的Ruby版本下通过如下代码可以重现以上错误:
由于这个问题在 1.9.3 版本发布前已经修正了,所以在 Ruby 1.9.3-p0及后续版本不会受到影响,但是在Ruby 1.9.2 及之前版本会存在此问题。
你可以在Bug Tracker上查看关于此问题的原始报告:https://bugs.ruby-lang.org/issues/5149#note-4
下载
-
https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.bz2
SIZE: 9081661 bytes MD5: 8ba4aaf707023e76f80fc8f455c99858 SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f
-
https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.gz
SIZE: 11416473 bytes MD5: 4b9330730491f96b402adc4a561e859a SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9
-
https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.zip
SIZE: 12732739 bytes MD5: 42d261b28d1b7e500dd3bdbdbfba7fa5 SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
我们建议你升级到一个稳定的并处于维护中的 Ruby 版本。