The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимостей"  +/
Сообщение от opennews (??), 01-Окт-19, 22:04 
Сформированы корректирующие релизы языка программирования Ruby  2.6.5, 2.5.7 и 2.4.8 в которых устранены четыре уязвимости. Наиболее опасная уязвимость (CVE-2019-16255)  в стандартной библиотеке Shell (lib/shell.rb), которая позволяет осуществить подстановку кода. В случае обработки полученных от пользователя данных в первом аргументе методов Shell#[] или Shell#test, используемых для проверки наличия файла,  атакующий может добиться вызова произвольного Ruby-метода...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=51598

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –1 +/
Сообщение от Аноним (1), 01-Окт-19, 22:04 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. Скрыто модератором  +1 +/
Сообщение от Аноним (2), 01-Окт-19, 22:20 
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –3 +/
Сообщение от Аноним (3), 01-Окт-19, 22:31 
> языка программирования Ruby 2.6.5, 2.5.7 и 2.4.8

У меня чего-то в глазах зарябило: это все разные языки, или это версии языка? Тогда какого черта их столько перечислено?? (Вопрос риторический, я догадываюсь, какой будет ответ).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +2 +/
Сообщение от Аноним (2), 01-Окт-19, 22:49 
язык один, интерпретатор и stdlib разных версий.
>Тогда какого черта их столько перечислено??

потому что они кроме беты еще 3 ветки поддерживают https://www.ruby-lang.org/en/downloads/branches/

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –4 +/
Сообщение от phpmonkey (?), 01-Окт-19, 22:34 
> В случае обработки полученных от пользователя данных в первом
> аргументе методов Shell#[] или Shell#test,
> используемых для проверки наличия файла

завидуют, неудачники, нашему прекрасному phar.
Но получилась бледная копия, малопригодная для практического использования.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –3 +/
Сообщение от гуси (?), 01-Окт-19, 22:47 
Его вообще для чего-то, кроме как для Rails используют?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +2 +/
Сообщение от Аноним (1), 01-Окт-19, 23:26 
Подозреваю, что для поддержки нео-легаси, возникшего на этапе агрессивного хайпа этого самого руби. Перспектив у языка нет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +2 +/
Сообщение от Аноним (9), 02-Окт-19, 01:50 
однако гитлэб написан на нём, и переписыывать не собираются.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +3 +/
Сообщение от Аноним (1), 02-Окт-19, 05:23 
> однако гитлэб написан на нём, и переписыывать не собираются

Это и есть определение слову "легаси".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –1 +/
Сообщение от Анонимчжан (?), 02-Окт-19, 02:49 
недавно видел несколько скриптов на нем в линухе. в /bin и /usr/bin. но их мало. я так легко интересовался и получается, что кроме райлс он нафиг нигде особо не нужен. поясните если ошибаюсь.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +/
Сообщение от Аноним (12), 02-Окт-19, 08:58 
См. скрипты в OpenSUSE
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +/
Сообщение от slk (??), 03-Окт-19, 17:39 
Для автоматизации в основном. Или там, где нужно сделать что-то вроде DSL ... опять же, для автоматизации чего-то.
Chef, Puppet, Vagrant, Terraform, Travis CI, YaST, Sidekiq и т.п. Ruby используют OpenNebula, CloudFoundry
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +1 +/
Сообщение от Аноним (13), 02-Окт-19, 09:16 
Ну да, для написания драйверов, видеокодеков и майнеров криптовалют подходит слабо :)

А для систем вида "возьми данные здесь, сделай из них HTML или JSON и отдай" вполне годен.

Например взять данные из чьего либо API и положить в свою локальную БД.
Реализовать API для доступа к своим данным.

Компоненты входящие в Rails расширяют язык и позволяют делать эти задачи более простыми для программиста.

Конечно покушать ОЗУ и ЦПУ любит больше чем компилируемые языки, но так было всегда и со всеми :)

А еще комьюнити вокруг языка непривычно доброжелательное, но это сугубо моё ИМХО.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +/
Сообщение от asand3r (ok), 02-Окт-19, 10:45 
Ну так-то Питон для этого всего тоже отлично подходит и он более популярен и комьюнити шире.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +/
Сообщение от Аноним (16), 02-Окт-19, 11:42 
Только язык не очень, ага. Вам знакома такая штука как вкусовщина?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –1 +/
Сообщение от asand3remail (ok), 02-Окт-19, 12:24 
Я не особо разработчик, не могу сравнивать кто из них очень или не очень.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +1 +/
Сообщение от Аноним (13), 02-Окт-19, 13:26 
У английского языка тоже комьюнити шире, но это не мешает существовать русскому.

У руби есть отличия, которые замечаешь когда переключаешься с него на пайтон :)

Например.
Блок кода - конструкция которую можно передать при вызове функции.
Она похожа на пайтоновую lambda не ограничивается одним выражением.
но это вторично.


Самое интересное это то что здесь используют вещи которы другие записали в антипаттерны.

Например некоторые модули расширяют поведение базовых классов.

В Rails конструкция 7.days.ago отработает вернет дату и время (7 суток назад) потому что в класс Integer (а 7 это объект Integer) были добавлены методы.

Это (сама возможность расширять базовые классы) наврное может превратить работу над крупным проектом в ад, но при здравом подходе вполне удобно.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –2 +/
Сообщение от нех (?), 02-Окт-19, 13:34 
не отработала. как и ожидалось - undefined method 'day'
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +1 +/
Сообщение от Аноним (20), 02-Окт-19, 15:17 
Там ключевое слово "в Rails". В простом irb это работать не будет
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +/
Сообщение от Аноним (22), 03-Окт-19, 18:59 
>А для систем вида "возьми данные здесь, сделай из них HTML или JSON и отдай" вполне годен. Например взять данные из чьего либо API и положить в свою локальную БД. Реализовать API для доступа к своим данным.

Это задачи из разряда hello world. Их можно реализовать на любом современном ЯП. В компаниях этим языком станет тот на котором написаны основные проекты и, с большой вероятностью, это будет не Руби.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  +/
Сообщение от Аноним (13), 04-Окт-19, 13:10 
> Это задачи из разряда hello world.

Задачи из разрада "Hello World" обычно используют для демонстрации синтаксиса языка, никакого
прикладного применения не подразумевается. Я же говорил про относительно простые задачи часто приносящие пользу бизнесу.
Можно их отнести к "однострочникам", и я бы сказал что это их преимущество.

> Их можно реализовать на любом современном ЯП.

Их можно делать и на языках которые никто ужа давно не назовет современными :)
Но при использовании многих из языков, эти программы сразу перестанут быть "однострочниками".
Код на руби может быть и понятен, и лаконичен, а может не быть :)

> В компаниях этим языком станет тот на котором написаны основные проекты и, с большой вероятностью, это будет не Руби.

Да. Если смотреть на вопрос "статистически"...
Скорее всего реазизуют на JavaScript.
ТЗ будет на английсоком или на одном из наречий китайского.
Редактор/IDE будет работать под виндой.
и еще можно кучу придумать "наиболее вероятного"

Всегда есть тренды, но не надо их рассматривать как единственно верное решение во всех ситуациях.
(я вот не китаец, хотя это и в тренде)

Есть ниши где руби удобен и неплохо обосновался и этого достаточно чтобы мотивировать разрабочиков на поддержку старых версий, разработку новых, а еще поддержку кучи компонентов.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

6. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –3 +/
Сообщение от Аноним (6), 01-Окт-19, 22:48 
А новые уязвимости добавили? Чтобы после было чего исправлять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимост..."  –1 +/
Сообщение от dotgggff (?), 02-Окт-19, 09:22 
да что за люди то такие! все у них на живуличку, на ниточку! устранимая уязвимость .. тфу.
не чего сделать нормально не могут .. не что бы неустранимую уязвимость как интел запилить .. любители блин
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру