Ruby团队近日发布了Ruby 1.9.3-p286版本。
该版本主要修复了一些安全漏洞:
针对Exception#to_s、NameError#to_s和name_err_mesg_to_s()的漏洞,这些是Ruby解释器内部API。利用这些漏洞,恶意代码可以绕过$SAFE检查。详见:http://www.ruby-lang.org/en/news/2012/10/12/cve-2012-4464-cve-2012-4466/
在文件路径中插入空字符,可能会导致文件创建例程创建一个意想不到的文件。
受影响版本:
Ruby 1.8.7-p371之前的所有版本
Ruby 1.9.3-p286之前的所有版本
Ruby 2.0-r37068之前的所有开发分支版本
此外,该版本还修复了大量的bug,详细信息:http://svn.ruby-lang.org/repos/ruby/tags/v1_9_3_286/ChangeLog
主页:http://www.ruby-lang.org/zh_CN/
下载:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p286.tar.gz
来自:开源中国社区
