forum.opennet.ru - "Несколько уязвимостей в RubyGems" (11)

форумы

правила/FAQ

поиск

регистрация

вход/выход

слежка

"Несколько уязвимостей в RubyGems"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Несколько уязвимостей в RubyGems"	+/–
Сообщение от opennews (??) on 30-Авг-17, 02:28
В Rubygems (http://Rubygems.org,), системе управления пакетами для приложений на языке Ruby, устранено (https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulner.../) несколько уязвимостей. Проблемы устранены в RubyGems 2.6.13 и пока не исправлены в релизах Ruby 2.2.7, 2.3.4 и 2.4.1. Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи. Среди исправленных уязвимостей: - Уязвимость в инсталляторе, позволяющая при установке специально оформленного пакета переписать произвольные файлы в системе; - Уязвимость, связанная с применением escape-последовательностей; - Возможность подмены результата DNS-запроса; - DoS-уязвимость в реализации команды "query". URL: https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulner.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=47094
Ответить \| Правка \| Cообщить модератору

Оглавление

Несколько уязвимостей в RubyGems, Аноним, 02:28 , 30-Авг-17, (1) –3

Несколько уязвимостей в RubyGems, Аноним, 08:39 , 30-Авг-17, (6) +1

Несколько уязвимостей в RubyGems, Аноним, 10:05 , 30-Авг-17, (8) +2

Несколько уязвимостей в RubyGems, Аноним, 10:21 , 30-Авг-17, (10) +2

Несколько уязвимостей в RubyGems, Аноним, 10:06 , 30-Авг-17, (9)

Несколько уязвимостей в RubyGems, Аноним, 01:55 , 31-Авг-17, (11) –1

Несколько уязвимостей в RubyGems, Аноним, 06:34 , 31-Авг-17, (12)

Несколько уязвимостей в RubyGems, Lolwat, 16:45 , 31-Авг-17, (13)

Несколько уязвимостей в RubyGems, Lolwat, 16:45 , 31-Авг-17, (14)

Несколько уязвимостей в RubyGems, Аноним, 17:46 , 31-Авг-17, (15) +1

Несколько уязвимостей в RubyGems, Led, 23:17 , 01-Сен-17, (16)

Сообщения по теме [Сортировка по времени | RSS]

1. "Несколько уязвимостей в RubyGems" –3 +/–

Сообщение от Аноним (??) on 30-Авг-17, 02:28

пошли по пути npm leftpad... ничему не учаться...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Несколько уязвимостей в RubyGems" +1 +/–

Сообщение от Аноним (??) on 30-Авг-17, 08:39

Хипстеры везде одинаковые. Надутые, самонадеяные, готовые свернуть горы. И делающие детские ошибки во всем чем можно. Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Несколько уязвимостей в RubyGems" +2 +/–

Сообщение от Аноним (??) on 30-Авг-17, 10:05

Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут. А в некотрые языки _встраивают_ возможность забирать гов*ецо прямо с github.com. Хорошо, что до рубей этот позор не добрался... wait, o shi- у них же есть ruby gem... Хипстота... она везде, неужели мы обречены ходить по жиденькому как корова по льду?... потому что жизнь - боль и деградация неизбежна :(

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Несколько уязвимостей в RubyGems" +2 +/–

Сообщение от Аноним (??) on 30-Авг-17, 10:21

> Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут.
в слове lts третья буква означает support - а у хипсторов ни желания, ни времени на сопровождение. Скорей-скорей, прогресс двигай давай, о совместимости не думай, это удел лохов!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Несколько уязвимостей в RubyGems" +/–

Сообщение от Аноним (??) on 30-Авг-17, 10:06

> И делающие детские ошибки во всем чем можно.
потому что считают что мир до них - "окаменелое г-но", и тратить время на его изучение незачем.
> Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.
а толку? Приедет тебе подписанный хз кем (ибо crowd-development) пакет, а в нем /etc/shadow вместе с passwd. Или сразу вообще sshd. И чексумма правильная, я ее щас правильно посчитаю.
Удивительно было бы, если бы они додумались интегрировать свои корявки в существующие системы управления пакетами (которые в том числе умеют их обломать при конфликтах файлов), а не мир с нуля пересоздавать. Но из новых-модных хипста-языков это не умеет ни один, зато каждый изобрел по велосипеду, некоторые даже по два - один без колес, второй без руля (pecl/pear, хехе). Впрочем, перл вот умел - и никто кроме freebsd так и ниасилил использовать, так что это обоюдно - модные хипста-системы тоже ни в чем таком не заинтересованы и не были никогда.
Ставьте все в хомяк. Юзера ruby-run, когда навернется - откатите снапшот его хомяка. Ой..у вас не zfs? Ну тогда трахайтесь с регулярными архивациями.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Несколько уязвимостей в RubyGems" –1 +/–

Сообщение от Аноним (??) on 31-Авг-17, 01:55

такое г этот rubygems. Я вот уже пятый год воюю на работе чтобы избавиться от ruby, nodejse и тому подобной хипстоты типа mongodb. пока безуспешно... а оно и понятно хипстеры дешевле. Походу так и будим мы всем миром в полном... "жиже"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Несколько уязвимостей в RubyGems" +/–

Сообщение от Аноним (??) on 31-Авг-17, 06:34

> Я вот уже пятый год воюю на работе
Это вместо того, чтобы найти другого работодателя?
http://static.diary.ru/userdir/1/0/6/0/1060566/74602406.jpg

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Несколько уязвимостей в RubyGems" +/–

Сообщение от Lolwat on 31-Авг-17, 16:45

Ищю я, потихоньку но $120К + бонус не так легко то найти. Да и меня твои на мыло тоже как-то не очень люблю. А туда куда я очень хочу мня не пускают - требуют гражданство. Так что походу так и буду я этот крест с ссылки таскать

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Несколько уязвимостей в RubyGems" +/–

Сообщение от Lolwat on 31-Авг-17, 16:45

> Ищю я, потихоньку но $120К + бонус не так легко то найти.
> Да и меня твои на мыло тоже как-то не очень люблю.
> А туда куда я очень хочу мня не пускают - требуют
> гражданство. Так что походу так и буду я этот крест с
> ссылки таскать
*шило

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Несколько уязвимостей в RubyGems" +1 +/–

Сообщение от Аноним (??) on 31-Авг-17, 17:46

Как будто, во всех других языках и пакет менеджеров не бывает уязвимостей, за новость спасибо пойду обновлю.
У меня руби в докере, я хз, что он там страшного может натворить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Несколько уязвимостей в RubyGems" +/–

Сообщение от Led (ok) on 01-Сен-17, 23:17

> У меня руби в докере
Запущенный случай... Такое не лечится... какое-то время можно протянуть благодаря смузи...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Несколько уязвимостей в RubyGems"	–3 +/–
Сообщение от Аноним (??) on 30-Авг-17, 02:28
пошли по пути npm leftpad... ничему не учаться...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Несколько уязвимостей в RubyGems"	+1 +/–
	Сообщение от Аноним (??) on 30-Авг-17, 08:39
	Хипстеры везде одинаковые. Надутые, самонадеяные, готовые свернуть горы. И делающие детские ошибки во всем чем можно. Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	8. "Несколько уязвимостей в RubyGems"	+2 +/–
	Сообщение от Аноним (??) on 30-Авг-17, 10:05
	Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут. А в некотрые языки _встраивают_ возможность забирать гов*ецо прямо с github.com. Хорошо, что до рубей этот позор не добрался... wait, o shi- у них же есть ruby gem... Хипстота... она везде, неужели мы обречены ходить по жиденькому как корова по льду?... потому что жизнь - боль и деградация неизбежна :(
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Несколько уязвимостей в RubyGems"	+2 +/–
	Сообщение от Аноним (??) on 30-Авг-17, 10:21
	> Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут. в слове lts третья буква означает support - а у хипсторов ни желания, ни времени на сопровождение. Скорей-скорей, прогресс двигай давай, о совместимости не думай, это удел лохов!
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	9. "Несколько уязвимостей в RubyGems"	+/–
	Сообщение от Аноним (??) on 30-Авг-17, 10:06
	> И делающие детские ошибки во всем чем можно. потому что считают что мир до них - "окаменелое г-но", и тратить время на его изучение незачем. > Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов. а толку? Приедет тебе подписанный хз кем (ибо crowd-development) пакет, а в нем /etc/shadow вместе с passwd. Или сразу вообще sshd. И чексумма правильная, я ее щас правильно посчитаю. Удивительно было бы, если бы они додумались интегрировать свои корявки в существующие системы управления пакетами (которые в том числе умеют их обломать при конфликтах файлов), а не мир с нуля пересоздавать. Но из новых-модных хипста-языков это не умеет ни один, зато каждый изобрел по велосипеду, некоторые даже по два - один без колес, второй без руля (pecl/pear, хехе). Впрочем, перл вот умел - и никто кроме freebsd так и ниасилил использовать, так что это обоюдно - модные хипста-системы тоже ни в чем таком не заинтересованы и не были никогда. Ставьте все в хомяк. Юзера ruby-run, когда навернется - откатите снапшот его хомяка. Ой..у вас не zfs? Ну тогда трахайтесь с регулярными архивациями.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

11. "Несколько уязвимостей в RubyGems"	–1 +/–
Сообщение от Аноним (??) on 31-Авг-17, 01:55
такое г этот rubygems. Я вот уже пятый год воюю на работе чтобы избавиться от ruby, nodejse и тому подобной хипстоты типа mongodb. пока безуспешно... а оно и понятно хипстеры дешевле. Походу так и будим мы всем миром в полном... "жиже"
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "Несколько уязвимостей в RubyGems"	+/–
	Сообщение от Аноним (??) on 31-Авг-17, 06:34
	> Я вот уже пятый год воюю на работе Это вместо того, чтобы найти другого работодателя? http://static.diary.ru/userdir/1/0/6/0/1060566/74602406.jpg
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Несколько уязвимостей в RubyGems"	+/–
	Сообщение от Lolwat on 31-Авг-17, 16:45
	Ищю я, потихоньку но $120К + бонус не так легко то найти. Да и меня твои на мыло тоже как-то не очень люблю. А туда куда я очень хочу мня не пускают - требуют гражданство. Так что походу так и буду я этот крест с ссылки таскать
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Несколько уязвимостей в RubyGems"	+/–
	Сообщение от Lolwat on 31-Авг-17, 16:45
	> Ищю я, потихоньку но $120К + бонус не так легко то найти. > Да и меня твои на мыло тоже как-то не очень люблю. > А туда куда я очень хочу мня не пускают - требуют > гражданство. Так что походу так и буду я этот крест с > ссылки таскать *шило
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору

15. "Несколько уязвимостей в RubyGems"	+1 +/–
Сообщение от Аноним (??) on 31-Авг-17, 17:46
Как будто, во всех других языках и пакет менеджеров не бывает уязвимостей, за новость спасибо пойду обновлю. У меня руби в докере, я хз, что он там страшного может натворить.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "Несколько уязвимостей в RubyGems"	+/–
	Сообщение от Led (ok) on 01-Сен-17, 23:17
	> У меня руби в докере Запущенный случай... Такое не лечится... какое-то время можно протянуть благодаря смузи...
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору