Mises à jour de sécurité et nouvelle version pour Ruby on Rails
Après la découverte de plusieurs vulnérabilités

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 01/12/09

Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations

La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.

Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".

Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :

"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".

RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.

Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.

RoR 2.3.5 est disponible sur cette page.

Le patch séparé pour Rails 2.2 est téléchargeable ici.

Et les Release Notes sont consultables sur cette page.

Source : Le billet de Mike Gunderloy

Et vous ? :

Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?

MAJ de Gordon Fowler

Mises à jour de sécurité et nouvelle version pour Ruby on Rails

L'équipe de développement de Ruby on Rails (ou RoR), le framework web libre écrit en Ruby sous la direction de David Heinemeier Hansson, vient d'annoncer la sortie de patches et d'une mise à jour destiné à combler deux vulnérabilités.

La première, et probablement la plus critique concerne une vulnérabilité dite Cross-Site Scripting (XSS) trouvé sur Twitter (basé sur RoR).

Le XSS est un type de faille de sécurité des sites Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux.

Les patches pour corriger cette faille sont disponibles, bien que ce type d'attaque soit jugé peu probable.

La deuxième concerne, elle, les "attaques temporelles" ("Timing Attack").
Pour mémoire, une attaque temporelle analyse le temps mis pour effectuer certaines opérations de cryptage pour découvrir des informations secrètes.

Jugée encore plus improbable que la précédente, l'équipe a tout de même sorti des correctifs.

Enfin, aux développeurs qui ne voudraient pas patcher leur framework, ils peuvent télécharger la toute dernière version (la 2.3.4.) de Ruby on Rails qui vient tout juste de sortir.

Et qui inclue, bien évidemment, tous les correctifs.

Lire aussi :

Tout RoR est sur Developpez.

Et vous ? :

Allez-vous passer à Ruby On Rails 2.3.4 ?
Plus généralement que pensez-vous de RoR ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de saturn1 saturn1 - Membre confirmé https://www.developpez.com
le 09/09/2009 à 18:16
RoR est selon moi un très bon framework.

D'ailleurs entre la course - Django, Symfony, Rails - je me demande réellement quel est le meilleur !!?
Avatar de Shirraz Shirraz - Membre confirmé https://www.developpez.com
le 17/09/2009 à 4:20
Citation Envoyé par saturn1  Voir le message
RoR est selon moi un très bon framework.

D'ailleurs entre la course - Django, Symfony, Rails - je me demande réellement quel est le meilleur !!?


Et Zend ?
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 01/12/2009 à 12:39
Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations

La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.

Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".

Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :

"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".

RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.

Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.

RoR 2.3.5 est disponible sur cette page.

Le patch séparé pour Rails 2.2 est téléchargeable ici.

Et les Release Notes sont consultables sur cette page.

Source : Le billet de Mike Gunderloy

Et vous ? :

Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?
Avatar de Zfred Zfred - Membre confirmé https://www.developpez.com
le 01/12/2009 à 16:36
Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?

Le passage à RoR 2.3.5 se fera certainement en même temps que le passage à Ruby1.9, pour ma part...
Avatar de kaymak kaymak - Membre chevronné https://www.developpez.com
le 01/12/2009 à 19:18
J'aimerai bien pouvoir consulter du source code de vrais applications écrites en ror par des vrais développeurs lambda. Juste pour voir à quoi sa ressemble dans la vrai vie... (sortie de la doc)
Offres d'emploi IT
Chef de projet delivery (H/F)
Cdiscount - Aquitaine - Bordeaux (33000)
Développeur frontend h/f
MAC_ERCI INTERNATIONAL - Ile de France - Montreuil (93100)
Technicien cms, sms et réseaux. H/F
DCNS - Provence Alpes Côte d'Azur - Toulon (83200)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil