Ruby on Rails 2.3.5 est arrivé
La mise à jour du framework apporte un important correctif de sécurité et plusieurs améliorations
Le 2009-09-09 14:50:12, par Gordon Fowler, Expert éminent sénior
Mise à jour du 01/12/09
Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations
La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.
Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".
Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :
"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".
RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.
Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.
RoR 2.3.5 est disponible sur cette page.
Le patch séparé pour Rails 2.2 est téléchargeable ici.
Et les Release Notes sont consultables sur cette page.
Source : Le billet de Mike Gunderloy
Et vous ? :
MAJ de Gordon Fowler
Mises à jour de sécurité et nouvelle version pour Ruby on Rails
L'équipe de développement de Ruby on Rails (ou RoR), le framework web libre écrit en Ruby sous la direction de David Heinemeier Hansson, vient d'annoncer la sortie de patches et d'une mise à jour destiné à combler deux vulnérabilités.
La première, et probablement la plus critique concerne une vulnérabilité dite Cross-Site Scripting (XSS) trouvé sur Twitter (basé sur RoR).
Le XSS est un type de faille de sécurité des sites Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux.
Les patches pour corriger cette faille sont disponibles, bien que ce type d'attaque soit jugé peu probable.
La deuxième concerne, elle, les "attaques temporelles" ("Timing Attack"
Pour mémoire, une attaque temporelle analyse le temps mis pour effectuer certaines opérations de cryptage pour découvrir des informations secrètes.
Jugée encore plus improbable que la précédente, l'équipe a tout de même sorti des correctifs.
Enfin, aux développeurs qui ne voudraient pas patcher leur framework, ils peuvent télécharger la toute dernière version (la 2.3.4.) de Ruby on Rails qui vient tout juste de sortir.
Et qui inclue, bien évidemment, tous les correctifs.
Lire aussi :
Et vous ? :
Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations
La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.
Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".
Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :
"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".
RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.
Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.
RoR 2.3.5 est disponible sur cette page.
Le patch séparé pour Rails 2.2 est téléchargeable ici.
Et les Release Notes sont consultables sur cette page.
Source : Le billet de Mike Gunderloy
Et vous ? :
MAJ de Gordon Fowler
Mises à jour de sécurité et nouvelle version pour Ruby on Rails
L'équipe de développement de Ruby on Rails (ou RoR), le framework web libre écrit en Ruby sous la direction de David Heinemeier Hansson, vient d'annoncer la sortie de patches et d'une mise à jour destiné à combler deux vulnérabilités.
La première, et probablement la plus critique concerne une vulnérabilité dite Cross-Site Scripting (XSS) trouvé sur Twitter (basé sur RoR).
Le XSS est un type de faille de sécurité des sites Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux.
Les patches pour corriger cette faille sont disponibles, bien que ce type d'attaque soit jugé peu probable.
La deuxième concerne, elle, les "attaques temporelles" ("Timing Attack"
Pour mémoire, une attaque temporelle analyse le temps mis pour effectuer certaines opérations de cryptage pour découvrir des informations secrètes.
Jugée encore plus improbable que la précédente, l'équipe a tout de même sorti des correctifs.
Enfin, aux développeurs qui ne voudraient pas patcher leur framework, ils peuvent télécharger la toute dernière version (la 2.3.4.) de Ruby on Rails qui vient tout juste de sortir.
Et qui inclue, bien évidemment, tous les correctifs.
Lire aussi :
Et vous ? :
-
saturn1Membre confirméRoR est selon moi un très bon framework.
D'ailleurs entre la course - Django, Symfony, Rails - je me demande réellement quel est le meilleur !!?le 09/09/2009 à 18:16 -
ShirrazMembre confirméle 17/09/2009 à 4:20
-
Gordon FowlerExpert éminent séniorRuby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations
La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.
Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".
Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :
"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".
RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.
Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.
RoR 2.3.5 est disponible sur cette page.
Le patch séparé pour Rails 2.2 est téléchargeable ici.
Et les Release Notes sont consultables sur cette page.
Source : Le billet de Mike Gunderloy
Et vous ? :Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ? le 01/12/2009 à 12:39 -
ZfredMembre éclairéLe passage à RoR 2.3.5 se fera certainement en même temps que le passage à Ruby1.9, pour ma part...Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?le 01/12/2009 à 16:36
-
kaymakMembre émériteJ'aimerai bien pouvoir consulter du source code de vrais applications écrites en ror par des vrais développeurs lambda. Juste pour voir à quoi sa ressemble dans la vrai vie... (sortie de la doc)le 01/12/2009 à 19:18