Mise à jour du 01/12/09
Ruby on Rails 2.3.5 est sur les rails
La mise à jour du framework apporte un important correctif de sécurité et quelques améliorations
La version 2.3.5 de Ruby on Rails, le framework web libre écrit en Ruby, vient d'arriver.
Au menu, des bugs qui ont été fixés et un correctif de sécurité. Cette dernière concerne une vulnérabilité de type XSS dans "strip_tags".
Mike Gunderloy, membre de l'équipe de développement de Rails, prévient :
"Si vous utilisez Rails 2.3.x, vous devriez effectuer la mise à jour dès que possible surtout pour le fix de sécurité qu'elle contient. Si vous utilisez Rails 2.2, un patch séparé est disponible. Enfin les versions antérieures à la 2.2 ne son tplus supportées, elles doivent être abandonnées et/ou upgradées le plus rapidement possible".
RoR 2.3.5 bénéficie donc d'une meilleure compatibilité Ruby 1.9 et supporte le plug-in RailsXss.
Parmi les améliorations notables l'adaptateur MySQL pour Rails a été mis à jour pour permettre l'utilisation de procédures hébergées.
RoR 2.3.5 est disponible sur cette page.
Le patch séparé pour Rails 2.2 est téléchargeable ici.
Et les Release Notes sont consultables sur cette page.
Source : Le billet de Mike Gunderloy
Et vous ? :
Allez-vous écouter Mike Gunderloy et passer à RoR 2.3.5 ou continuer à développer avec votre framework actuel ?
MAJ de Gordon Fowler
Mises à jour de sécurité et nouvelle version pour Ruby on Rails
L'équipe de développement de Ruby on Rails (ou RoR), le framework web libre écrit en Ruby sous la direction de David Heinemeier Hansson, vient d'annoncer la sortie de patches et d'une mise à jour destiné à combler deux vulnérabilités.
La première, et probablement la plus critique concerne une vulnérabilité dite Cross-Site Scripting (XSS) trouvé sur Twitter (basé sur RoR).
Le XSS est un type de faille de sécurité des sites Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux.
Les patches pour corriger cette faille sont disponibles, bien que ce type d'attaque soit jugé peu probable.
La deuxième concerne, elle, les "attaques temporelles" ("Timing Attack".
Pour mémoire, une attaque temporelle analyse le temps mis pour effectuer certaines opérations de cryptage pour découvrir des informations secrètes.
Jugée encore plus improbable que la précédente, l'équipe a tout de même sorti des correctifs.
Enfin, aux développeurs qui ne voudraient pas patcher leur framework, ils peuvent télécharger la toute dernière version (la 2.3.4.) de Ruby on Rails qui vient tout juste de sortir.
Et qui inclue, bien évidemment, tous les correctifs.
Lire aussi :
Tout RoR est sur Developpez.
Et vous ? :
Allez-vous passer à Ruby On Rails 2.3.4 ?
Plus généralement que pensez-vous de RoR ?
Mises à jour de sécurité et nouvelle version pour Ruby on Rails
Après la découverte de plusieurs vulnérabilités
Mises à jour de sécurité et nouvelle version pour Ruby on Rails
Après la découverte de plusieurs vulnérabilités
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !