2008-06-24
最近的ruby的vulnerabilities
没有时间详细看具体的问题,但是有几个显然是比较严重buffer overflow。如果rails没做足够的参数检查的话,很有可能造成远程代码执行。
有趣的是,目前最详细的介绍是来自‘著名’的zed shaw。其他地方都语焉不详。
http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html
目前的一个问题是ruby的向后兼容做得很不好。比如很多人遇到了1.8.7会造成rals 2.1以下的版本不能运行。即使是这个official的ruby 1.8.6的新版本也造成了一些rail app不能运行。为此phusion做了个第三方的release:
http://blog.phusion.nl/2008/06/23/ruby-186-p230187-broke-your-app-ruby-enterprise-edition-to-the-rescue/
有趣的是,目前最详细的介绍是来自‘著名’的zed shaw。其他地方都语焉不详。
http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html
目前的一个问题是ruby的向后兼容做得很不好。比如很多人遇到了1.8.7会造成rals 2.1以下的版本不能运行。即使是这个official的ruby 1.8.6的新版本也造成了一些rail app不能运行。为此phusion做了个第三方的release:
http://blog.phusion.nl/2008/06/23/ruby-186-p230187-broke-your-app-ruby-enterprise-edition-to-the-rescue/
评论
neodoxy
2008-06-24
robbin 写道
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。
报的是Rails的错,比较头疼,而且目前这个站点停不下来,所以先放一放了
robbin
2008-06-24
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。
neodoxy
2008-06-24
robbin 写道
neodoxy 写道
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
兼容性问题好像还没解决,substract报错,某方法参数错误
哪个对象的substract?给个testcase,我测试测试看。
不好意思,没说清楚,是这个Substract,目前已经退回1.8.6-p230
robbin
2008-06-24
neodoxy 写道
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
兼容性问题好像还没解决,substract报错,某方法参数错误
哪个对象的substract?给个testcase,我测试测试看。
neodoxy
2008-06-24
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
兼容性问题好像还没解决,substract报错,某方法参数错误
phoenix520
2008-06-24
Quake Wang 写道
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
刚刚下载了p22,编译后可以正常启动项目了。
Quake Wang
2008-06-24
phoenix520 写道
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
可以跑,我在本机运行是正常的,而且今天下午JavaEye服务器上的ruby和rails都升级到最新版本了(1.8.7, 2.1)
你遇到的错误是什么?
phoenix520
2008-06-24
Ruby1.8.7可以跑Rails2.1吗,我在Cygwin的Ruby1.8.7下面新建一个Rails2.1项目,没办法启动。
Quake Wang
2008-06-24
为了解决这个潜在的安全漏洞,JavaEye已经在把Rails升级到了2.1,这周将会把ruby也升级一下。
不过在用rails2.1的时候,遇到一个serialized column的bug,大家留意一下:
http://www.javaeye.com/topic/207311
不过在用rails2.1的时候,遇到一个serialized column的bug,大家留意一下:
http://www.javaeye.com/topic/207311
发表评论
提醒: 该博客已发表在公共论坛,博客所有留言会成为论坛回贴,留言请注意遵守论坛发贴规则
yawl
- 浏览: 12177 次
- 详细资料
搜索本博客
最新评论
-
gem.config的一个小问题
haha, 正是我想要的。 谢谢!
-- by yawl -
gem.config的一个小问题
config.gem 'solr-ruby', :lib => 'solr'
-- by rainux -
最近的ruby的vulnerabilit ...
robbin 写道哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免 ...
-- by neodoxy -
最近的ruby的vulnerabilit ...
哈哈,原来是一个项目,那肯定需要做一些代码方面的修改,无可避免的。
-- by robbin -
最近的ruby的vulnerabilit ...
robbin 写道neodoxy 写道Quake Wang 写道phoenix5 ...
-- by neodoxy
评论排行榜