Ruby团队近日发布了Ruby 1.9.3-p286版本。
该版本主要修复了一些安全漏洞:
- 针对Exception#to_s、NameError#to_s和name_err_mesg_to_s()的漏洞,这些是Ruby解释器内部API。利用这些漏洞,恶意代码可以绕过$SAFE检查。详见:CVE-2012-4464, CVE-2012-4466
- 在文件路径中插入空字符,可能会导致文件创建例程创建一个意想不到的文件。
受影响版本:
- Ruby 1.8.7-p371之前的所有版本
- Ruby 1.9.3-p286之前的所有版本
- Ruby 2.0-r37068之前的所有开发分支版本
此外,该版本还修复了大量的bug,详细信息:ChangeLog
下载地址: