Ruby 1.9.2-p330 发布

1.9.2 版本最后一个版本 1.9.2-p330 已经发布。

在宣布终止 1.8.7 和 1.9.2 版本不久后,1.9.2 版本发现一个严重的安全性问题。 这个风险的 CVE 识別号已经被指派为 CVE-2014-6438

当使用 URI的 decode_www_form_component 方法去解析长字符串时会出现这个错误。

在之前的Ruby版本下通过如下代码可以重现以上错误:

ruby -v -ruri -e'URI.decode_www_form_component "A string that causes catastrophic backtracking as it gets longer %"'

由于这个问题在 1.9.3 版本发布前已经修正了,所以在 Ruby 1.9.3-p0及后续版本不会受到影响,但是在Ruby 1.9.2 及之前版本会存在此问题。

你可以在Bug Tracker上查看关于此问题的原始报告:https://bugs.ruby-lang.org/issues/5149#note-4

下载

我们建议你升级到一个稳定的并处于维护中的 Ruby 版本