Bienvenue au RailsCampParis 3 !

Après le succès des 2 premiers BarCamps dédiés à Ruby et Rails, RailsCampParis et RailsCampParis2, l’association Ruby France organise une troisième édition.

Ce RailsCampParis3 aura lieu samedi 9 avril à la Maison de l’Alsace, 39 avenue des Champs Elysées 75018 Paris, de 9h à 18h.

Attention, la capacité d’accueil étant limitée, seules les 80 premières personnes inscrites sur le site seront acceptées, les autres seront placées sur liste d’attente. Inscrivez-vous rapidement ! Si vous vous êtes inscrits mais que vous ne pouvez finalement pas venir, merci de nous le signaler afin de laisser la chance à quelqu’un d’autre de venir.

A partir de 9h du matin, nous vous accueillerons avec du café chaud et des croissants à la Maison de l’Alsace 39 avenue des Champs Elysées 75018 Paris, France. Les sessions commenceront à 10h et se termineront à 18h. Un repas sur le pouce sera servi sur place durant la pause déjeuner (jambon cuit à la choucroute, salade de pommes de terre). Si vous ne souhaitez pas manger sur place, merci de le signaler lors de votre inscription.

Si vous avez des questions, contactez Yann Klis (yann [point] klis [at] gmail [point] com ou @yannski sur twitter) ou essayez le hashtag #railscampparis3 sur Twitter.

Si vous ne savez pas ce qu’est un BarCamp, nous vous conseillons vivement la lecture de l’excellent article Wikipedia sur la question.

Bienvenue au RailsCampParis 3 !

Après le succès des 2 premiers BarCamps dédiés à Ruby et Rails, RailsCampParis et RailsCampParis2, l’association Ruby France organise une troisième édition.

Ce RailsCampParis3 aura lieu samedi 9 avril à la Maison de l’Alsace, 39 avenue des Champs Elysées 75018 Paris, de 9h à 18h.

Attention, la capacité d’accueil étant limitée, seules les 80 premières personnes inscrites sur le site seront acceptées, les autres seront placées sur liste d’attente. Inscrivez-vous rapidement ! Si vous vous êtes inscrits mais que vous ne pouvez finalement pas venir, merci de nous le signaler afin de laisser la chance à quelqu’un d’autre de venir.

A partir de 9h du matin, nous vous accueillerons avec du café chaud et des croissants à la Maison de l’Alsace 39 avenue des Champs Elysées 75018 Paris, France. Les sessions commenceront à 10h et se termineront à 18h. Un repas sur le pouce sera servi sur place durant la pause déjeuner (jambon cuit à la choucroute, salade de pommes de terre). Si vous ne souhaitez pas manger sur place, merci de le signaler lors de votre inscription.

Si vous avez des questions, contactez Yann Klis (yann [point] klis [at] gmail [point] com ou @yannski sur twitter) ou essayez le hashtag #railscampparis3 sur Twitter.

Si vous ne savez pas ce qu’est un BarCamp, nous vous conseillons vivement la lecture de l’excellent article Wikipedia sur la question.

Vingt-cinquième apéro Ruby parisien

RubyFrance vous annonce la tenue du 25ème apéro Ruby sur Paris.

Cet apéro Ruby aura lieu le mardi 29 mars à partir de 20h00. Comme à l’accoutumée, l’apéro se déroulera au Dune, 18 avenue Claude Vellefaux 75010 Paris (métro Colonel Fabien ou Goncourt : e-dune.fr/acces ou Google Maps).

Aucune présentation n’est encore programmée, mais si vous souhaitez vous aussi faire une présentation durant cet apéro, n’hésitez pas à l’annoncer sur la mailing list de Ruby ou celle dédiée à Ruby on rails. Aucun enregistrement préalable n’est nécessaire, mais vous pouvez toujours indiquer votre venue sur ces 2 listes.

Vingt-cinquième apéro Ruby parisien

RubyFrance vous annonce la tenue du 25ème apéro Ruby sur Paris.

Cet apéro Ruby aura lieu le mardi 29 mars à partir de 20h00. Comme à l’accoutumée, l’apéro se déroulera au Dune, 18 avenue Claude Vellefaux 75010 Paris (métro Colonel Fabien ou Goncourt : e-dune.fr/acces ou Google Maps).

Aucune présentation n’est encore programmée, mais si vous souhaitez vous aussi faire une présentation durant cet apéro, n’hésitez pas à l’annoncer sur la mailing list de Ruby ou celle dédiée à Ruby on rails. Aucun enregistrement préalable n’est nécessaire, mais vous pouvez toujours indiquer votre venue sur ces 2 listes.

Les méthodes d’exception peuvent outrepasser $SAFE

Exception#to_s peut être utilisée pour contourner les vérifications liées à $SAFE, ce qui permet à de modifier toute chaîne de caractères.

Description du problème

Ruby met à disposition un flag numérique $SAFE, dont le niveau 4 signifie l'autorisation d'exécuter du code tiers (par exemple, un plugin). Les niveaux supérieurs font des vérifications supplémentaires pour empêcher ce comportement et protéger les données internes.

Exception#to_s comporte une vulnérabilité qui permet de contourner ces vérifications, ce qui rend possible la corruption de chaîne de caractères pure. Un exemple du mécanisme serait le suivant :

$secret_path = "foo"

proc do
    $SAFE = 4
    Exception.new($secret_path).to_s
    $secret_path.replace "/etc/passwd"
end.call

open($secret_path) do
  ...
end

Versions touchées

Cette vulnérabilité ne touche pas les branches 1.9.x. Les versions affectées sont :

  • Ruby 1.8.6 patchlevel 420 et toutes les versions précédentes
  • Ruby 1.8.7 patchlevel 330 et toutes les versions précédentes
  • Les versions de développement de Ruby 1.8 (1.8.8dev)

Solutions

Les utilisateurs concernés sont encouragés à mettre à jour leur installation de Ruby.

Mises-à-jour

Vulnérabilité du type symlink race dans FileUtils

Une faille de sécurité lié à une vulnérabilité du type symlink race a été découverte dans FileUtils.remove_entry_secure. Elle permet à des utilisateurs locaux de détruire des dossiers et fichiers.

Versions touchées

  • Ruby 1.8.6 patchlevel 420 et toutes les versions précédentes
  • Ruby 1.8.7 patchlevel 330 et toutes les versions précédentes
  • Versions de développement de Ruby 1.8 (1.8.8dev)
  • Ruby 1.9.1 patchlevel 430 et toutes les versions précédentes
  • Ruby 1.9.2 patchlevel 136 et toutes les versions précédentes
  • Versions de développement de Ruby 1.9 (1.9.3dev)

Solutions

Le problème a été corrigé. Tous les utilisateurs concernés sont encouragés à mettre à jour leur installation de Ruby.

Il faut toutefois noter que ce type de vulnérabilité ne peut être évité dans le cas où un dossier parent du dossier courant est détenu par quelqu'un en qui vous ne pouvez avoir confiance. Pour rester dans un cas totalement sécurisé, il faut vous assurer qu'aucun des dossiers parents ne peut être déplacé/modifié par quelqu'un de suspect.

Mises-à-jour

Revue mensuelle du 1er mars 2011

Ruby France publie une fois par mois une revue de ses actions et l’activité autour de Ruby en France et dans le monde. Voici la dernière édition :

Communauté

Rails

Ruby

Rubinius