由 zzak 和 hone 于 2014 年 8 月 19 日发布

我们已经发布了 1.9.2-p330，这是 1.9.2 系列的最终版本。

在宣布 1.9.2（以及 1.8.7）的生命周期结束后不久，在 1.9.2 中发现了一个严重的安全性回归问题。此漏洞已被分配 CVE 标识符 CVE-2014-6438。

当解析长字符串时使用 URI 方法 decode_www_form_component 时，会发生此错误。可以通过在有漏洞的 Ruby 版本上运行以下代码来重现此问题

ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'

由于该问题是在 1.9.3 版本发布之前发现并修复的，因此 Ruby 1.9.3-p0 及更高版本不受影响；但是 Ruby 1.9.2 中早于 1.9.2-p330 的版本受影响。

您可以在错误跟踪器上阅读原始报告：https://bugs.ruby-lang.org/issues/5149#note-4

下载

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.bz2

  SIZE:   9081661 bytes
  MD5:    8ba4aaf707023e76f80fc8f455c99858
  SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f
  

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.tar.gz

  SIZE:   11416473 bytes
  MD5:    4b9330730491f96b402adc4a561e859a
  SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9
  

• https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p330.zip

  SIZE:   12732739 bytes
  MD5:    42d261b28d1b7e500dd3bdbdbfba7fa5
  SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6
  

我们鼓励您升级到稳定且受维护的 Ruby 版本。

订阅

最近新闻 (RSS)