Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mises à jour de sécurité et nouvelle version pour Ruby on Rails
Après la découverte de plusieurs vulnérabilités

Le , par Gordon Fowler

20PARTAGES

1  0 
Mise à jour du 01/12/09

Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations

La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.

Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".

Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :

"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".

RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.

Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.

RoR 2.3.5 est disponible sur cette page.

Le patch séparé pour Rails 2.2 est téléchargeable ici.

Et les Release Notes sont consultables sur cette page.

Source : Le billet de Mike Gunderloy

Et vous ? :

Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?

MAJ de Gordon Fowler

Mises à jour de sécurité et nouvelle version pour Ruby on Rails

L'équipe de développement de Ruby on Rails (ou RoR), le framework web libre écrit en Ruby sous la direction de David Heinemeier Hansson, vient d'annoncer la sortie de patches et d'une mise à jour destiné à combler deux vulnérabilités.

La première, et probablement la plus critique concerne une vulnérabilité dite Cross-Site Scripting (XSS) trouvé sur Twitter (basé sur RoR).

Le XSS est un type de faille de sécurité des sites Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux.

Les patches pour corriger cette faille sont disponibles, bien que ce type d'attaque soit jugé peu probable.

La deuxième concerne, elle, les "attaques temporelles" ("Timing Attack".
Pour mémoire, une attaque temporelle analyse le temps mis pour effectuer certaines opérations de cryptage pour découvrir des informations secrètes.

Jugée encore plus improbable que la précédente, l'équipe a tout de même sorti des correctifs.

Enfin, aux développeurs qui ne voudraient pas patcher leur framework, ils peuvent télécharger la toute dernière version (la 2.3.4.) de Ruby on Rails qui vient tout juste de sortir.

Et qui inclue, bien évidemment, tous les correctifs.

Lire aussi :

Tout RoR est sur Developpez.

Et vous ? :

Allez-vous passer à Ruby On Rails 2.3.4 ?
Plus généralement que pensez-vous de RoR ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de saturn1
Membre confirmé https://www.developpez.com
Le 09/09/2009 à 18:16
RoR est selon moi un très bon framework.

D'ailleurs entre la course - Django, Symfony, Rails - je me demande réellement quel est le meilleur !!?
1  0 
Avatar de Shirraz
Membre confirmé https://www.developpez.com
Le 17/09/2009 à 4:20
Citation Envoyé par saturn1 Voir le message
RoR est selon moi un très bon framework.

D'ailleurs entre la course - Django, Symfony, Rails - je me demande réellement quel est le meilleur !!?

Et Zend ?
1  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 01/12/2009 à 12:39
Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations

La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.

Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".

Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :

"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".

RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.

Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.

RoR 2.3.5 est disponible sur cette page.

Le patch séparé pour Rails 2.2 est téléchargeable ici.

Et les Release Notes sont consultables sur cette page.

Source : Le billet de Mike Gunderloy

Et vous ? :

Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?
1  0 
Avatar de Zfred
Membre confirmé https://www.developpez.com
Le 01/12/2009 à 16:36
Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?
Le passage à RoR 2.3.5 se fera certainement en même temps que le passage à Ruby1.9, pour ma part...
1  0 
Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 01/12/2009 à 19:18
J'aimerai bien pouvoir consulter du source code de vrais applications écrites en ror par des vrais développeurs lambda. Juste pour voir à quoi sa ressemble dans la vrai vie... (sortie de la doc)
1  0