|
Ruby 发布了 Ruby 3.0.1、Ruby 2.7.3、Ruby 2.6.7、Ruby 2.5.9 版本且提供下载,修复 CVE-2021-28965、CVE-2021-28966、CVE-2020-25613 安全漏洞,建议用户及时的升级到 Ruby 新版本中来,支持 Linux/UNIX、macOS、Windows 平台。新安装可参考在CentOS 8操作系统上安装Ruby的三种方法。
更新介绍 1、Ruby 3.0.1(稳定版) 此版本包括以下安全修复: CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability) CVE-2021-28966:Windows 上的 Tempfile 存在 Path traversal 问题 2、Ruby 2.7.3(稳定版) 此版本包括以下安全修复: CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability) CVE-2021-28966:Windows 上的 Tempfile 存在 Path traversal 问题 3、Ruby 2.6.7(在做安全性维护的版本) 此版本包括以下安全修复: CVE-2020-25613:WEBrick 中潜在的 HTTP 请求夹带攻击 (HTTP Request Smuggling Vulnerability) CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability) 注:Ruby 团队宣布这个版本发布后,他们结束了 Ruby 2.6.x 的正常维护周期,因此 Ruby 2.6 进入了安全维护阶段。这意味着他们将不再将除安全修复程序之外的任何错误修复程序移植到 Ruby 2.6。安全维护阶段的期限计划为一年。在安全维护阶段结束时,Ruby 2.6 将正式 EOL,其官方支持也随之结束。因此,Ruby 团队建议使用 Ruby 2.6 的开发者开始计划升级到 Ruby 2.7 或 3.0。 4、Ruby 2.5.9(不再维护的版本) 此版本包括以下安全修复: CVE-2020-25613:WEBrick 中潜在的 HTTP 请求夹带攻击 (HTTP Request Smuggling Vulnerability) CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability) 注:值得注意的是,Ruby 2.5.9 发布后,Ruby 2.5 正式 EOL。换句话说,这是 Ruby 2.5 系列的最后一个版本。因此即使发现安全漏洞,Ruby 团队也不会再发布 Ruby 2.5.10。他们建议所有 Ruby 2.5 用户立即升级到 Ruby 3.0、2.7 或 2.6。
下载链接 项目主页:https://github.com/ruby/ruby/ 下载地址:https://www.ruby-lang.org/en/downloads/
关于 Git 和 Subversion 的说明 1、Git 可以使用以下命令检出 Ruby 源代码树的镜像: $ git clone https://github.com/ruby/ruby.git 还有其他一些分支机构正在开发中,尝试使用以下命令查看分支列表: $ git ls-remote https://github.com/ruby/ruby.git 注:如果您是提交者,则可能还需要使用 https://git.ruby-lang.org/ruby.git(Ruby 源的实际主人)。 2、Subversion 可以使用以下命令检出Ruby较旧版本的稳定分支: $ svn co https://svn.ruby-lang.org/repos/ruby/branches/ruby_2_6/ ruby 尝试使用以下命令查看分支列表: $ svn ls https://svn.ruby-lang.org/repos/ruby/branches/
相关主题 |
