Ruby Security Vulnerabilities

2 views
Skip to first unread message

Tiago Macedo

unread,
Jun 26, 2008, 9:30:25 AM6/26/08
to rub...@googlegroups.com
Boas,

Como já devem ter lido, foram descobertas uma série de vulnerabilidades
de segurança em todas as versões estáveis de Ruby:

http://www.ruby-lang.org/en/news/2008/06/20/arbitrary-code-execution-vulnerabilities/
http://weblog.rubyonrails.org/2008/6/21/multiple-ruby-security-vulnerabilities


Vulnerable versions

1.8 series

* 1.8.4 and all prior versions
* 1.8.5-p230 and all prior versions
* 1.8.6-p229 and all prior versions
* 1.8.7-p21 and all prior versions

1.9 series

* 1.9.0-1 and all prior versions


Já foram lançadas versões corrigidas mas todas elas causam problemas com
algumas bibliotecas, nomeadamente Rails e Rspec (possível excepção entre
rails2.1 e ruby 1.9.0-1). Dado que a maioria das aplicações Rails não
pode correr com Ruby 1.9 e as versões de 1.8 corrigidas causam todas
problemas houve quem decidisse fazer o backport dos security fixes:

http://blog.phusion.nl/2008/06/23/ruby-186-p230187-broke-your-app-ruby-enterprise-edition-to-the-rescue/

Para os interessados:

patch para 1.8.6p111:
http://blog.phusion.nl/assets/r8ee-security-patch-20080623-2.txt
patch para 1.8.6p114:
http://takk.webreakstuff.com/~tmacedo/r8ee-security-patch-20080623-2-1.8.6p114.txt
ebuild (gentoo) 1.8.6p114:
http://takk.webreakstuff.com/~tmacedo/ruby-1.8.6_p114-r1.ebuild

Testei a versão corrigida do 1.8.6p114 com Rails 1.2, 2.0 e 2.1 sem
quaisquer problemas.

Tiago Macedo

anselmo silva

unread,
Jun 26, 2008, 10:05:06 AM6/26/08
to rub...@googlegroups.com
Railers, Atenção aos patches, pois podem trazer algumas/grandes dores de cabeça.

É aconselhável apenas para ambientes de produção onde exista realmente risco de segurança.

- Para quem está em ambiente de  desenvolvimento, não actualize, é melhor esperar por algo mais concreto ( new ruby version ).
- Para quem tem OSX, esperem por um "system update", para resolver este problema automaticamente.
- Para que está com apache_mod_rails => ( aka phusion-passenger, ruby enterprise edittion), façam o update ao gem. As correcções de segurança estão incluidas sem quebras de compatibilidade,

Cheers

2008/6/26 Tiago Macedo <tma...@webreakstuff.com>:



--
Anselmo Silva

André Medeiros

unread,
Jun 27, 2008, 11:34:28 PM6/27/08
to rub...@googlegroups.com
Bom,

Para quem quiser saber o que foi alterado e corrigido:

http://zedshaw.com/rants/the_big_ruby_vulnerabilities.html

O gajo dá um "twist" irónico e irado à coisa, por isso é uma leitura
interessante ;)

Penso, portanto, que actualizar apenas o mod_rails é, como se costuma
dizer, tapar o sol com a peneira.

Boa sorte.

2008/6/26 anselmo silva <ansel...@gmail.com>:

Pedro Sousa

unread,
Jun 28, 2008, 4:29:18 AM6/28/08
to ruby << portuguese
boas dicas, thanks.

hehe, ele teve mesmo a mostrar o código e a apontar o dedo. :P

o Zed já tinha avisado sobre alguns problemas nas classes
identificadas e já é meio conhecido o
seu descontentamento com a passividade da equipa core ruby no que toca
a incluir algumas correcções.
Pode ser que a coisa mude agora.


Pedro

On Jun 28, 4:34 am, "André Medeiros" <andre.c...@gmail.com> wrote:
> Bom,
>
> Para quem quiser saber o que foi alterado e corrigido:
>
> http://zedshaw.com/rants/the_big_ruby_vulnerabilities.html
>
> O gajo dá um "twist" irónico e irado à coisa, por isso é uma leitura
> interessante ;)
>
> Penso, portanto, que actualizar apenas o mod_rails é, como se costuma
> dizer, tapar o sol com a peneira.
>
> Boa sorte.
>
> 2008/6/26 anselmo silva <anselmo....@gmail.com>:
>
> > Railers, Atenção aos patches, pois podem trazer algumas/grandes dores de
> > cabeça.
>
> > É aconselhável apenas para ambientes de produção onde exista realmente risco
> > de segurança.
>
> > - Para quem está em ambiente de  desenvolvimento, não actualize, é melhor
> > esperar por algo mais concreto ( new ruby version ).
> > - Para quem tem OSX, esperem por um "system update", para resolver este
> > problema automaticamente.
> > - Para que está com apache_mod_rails => ( aka phusion-passenger, ruby
> > enterprise edittion), façam o update ao gem. As correcções de segurança
> > estão incluidas sem quebras de compatibilidade,
>
> > Cheers
>
> > 2008/6/26 Tiago Macedo <tmac...@webreakstuff.com>:
>
> >> Boas,
>
> >> Como já devem ter lido, foram descobertas uma série de vulnerabilidades
> >> de segurança em todas as versões estáveis de Ruby:
>
> >>http://www.ruby-lang.org/en/news/2008/06/20/arbitrary-code-execution-...
>
> >>http://weblog.rubyonrails.org/2008/6/21/multiple-ruby-security-vulner...
>
> >>    Vulnerable versions
>
> >> 1.8 series
>
> >>        * 1.8.4 and all prior versions
> >>        * 1.8.5-p230 and all prior versions
> >>        * 1.8.6-p229 and all prior versions
> >>        * 1.8.7-p21 and all prior versions
>
> >> 1.9 series
>
> >>        * 1.9.0-1 and all prior versions
>
> >> Já foram lançadas versões corrigidas mas todas elas causam problemas com
> >> algumas bibliotecas, nomeadamente Rails e Rspec (possível excepção entre
> >> rails2.1 e ruby 1.9.0-1). Dado que a maioria das aplicações Rails não
> >> pode correr com Ruby 1.9 e as versões de 1.8 corrigidas causam todas
> >> problemas houve quem decidisse fazer o backport dos security fixes:
>
> >>http://blog.phusion.nl/2008/06/23/ruby-186-p230187-broke-your-app-rub...
>
> >> Para os interessados:
>
> >> patch para 1.8.6p111:
> >>http://blog.phusion.nl/assets/r8ee-security-patch-20080623-2.txt
> >> patch para 1.8.6p114:
>
> >>http://takk.webreakstuff.com/~tmacedo/r8ee-security-patch-20080623-2-...
Reply all
Reply to author
Forward
0 new messages