Ruby 2.0 : Enumerator::Lazy

Release: gaston, a configuration store for Ruby

Sortie de la version 1.9.3-p327 de Ruby

La version 1.9.3-p327 de Ruby est sortie. Elle inclut un correctif de sécurité ainsi que la correction d'autres bugs mineurs :

Veuillez consulter les tickets et le ChangeLog pour plus de détails.

Téléchargement

Ruby 1.9 vulnérable à un déni de service par collision sur le hachage (CVE-2012-5371)

Une attaque a été découverte pour réaliser un déni de service par collision sur la fonction de hachage des chaînes de caractères utilisée par les versions 1.9 de Ruby. Cette vulnérabilité est différente de CVS-2011-4815 pour Ruby 1.8.7. Tous les utilisateurs de Ruby 1.9 sont encouragés à mettre à jour vers ruby-1.9.3 patchlevel 327 pour bénéficier du correctif de sécurité.

Impact

Une séquence de chaînes de caractères soigneusement choisies peut provoquer une attaque de type déni de service sur une application qui lit cette séquence pour créer un objet Hash en utilisant ces chaînes de caractères comme clés. Notamment, cette vulnérabilité touche les applications web qui analysent des données JSON provenant d'une source non-maîtrisée.

RD syntax error: line 4: ...Les versions 1.9 de Ruby utilisaient ((<"la fonction de hashage MurmurHash"|URL:https://sites.google.com/site/murmurhash/>)) modifiée mais il a été remonté qu'(<"il était possible de créer une séquence de chaînes de caractères dont les valeurs hashées par cette fonction entreraient en collision entre elles"|URL:http://2012.appsec-forum.ch/conferences/#c17 >)) . ... ^^^

Ruby 2.0 : Module#refine