Luki w Ruby załatane
- Daniel Cieślak,
- 24.06.2008, godz. 12:23
Autorzy open-source'owego języka programowania Ruby udostępnili właśnie jego nowe wersje, w których załatano pięć poważnych luk, wykrytych w wydania 1.8 i 1.9. Błędy pozwalały na nieautoryzowane uruchomienie kodu w oprogramowaniu napisanym w Ruby.
Problem jest o tyle poważny, że Ruby jest podstawą popularnej platformy Ruby on Rails, która wykorzystywana jest coraz częściej do tworzenia np. aplikacji webowych. Zdaniem specjalistów ds. bezpieczeństwa, oprogramowanie, w którym wykorzystano dziurawe wersje Ruby, może być podatne na ataki przeprowadzane z wykorzystaniem owych luk.
Błędy wykryto w dwóch popularnych wydaniach Ruby - 1.8 i 1.9. Autorzy języka przygotowali już uaktualnienia dla obu wersji (są to, odpowiednio, 1.8.5-p231, 1.8.6-p230 i 1.8.7-p22 oraz 1.9.0-2).
Przypomnijmy: Ruby to w pełni obiektowy, interpretowany, dynamiczny język programowania stworzony w 1995 przez Japończyka Yukihiro Matsumoto. Język wywodzi się głównie z języków takich jak Perl, Smalltalk, Python, CLU, czy Eiffel. Ruby posiada bardzo prostą składnię, automatyczny "odśmiecacz" pamięci (garbage collector), możliwość przeciążania operatorów, obsługę wyjątków, wbudowane w składnię wyrażenia regularne, iteratory, czy też możliwości dużej ingerencji w zdefiniowane już klasy. Z kolei Ruby on Rails to framework do szybkiego i łatwego budowania aplikacji webowych stworzony przez Davida Hanssona.
Błędy wykryte zostały przez Drew Yao z Apple Product Security - specjalista zgłosił je autorom Ruby i z opublikowaniem informacji o lukach czekał na ich załatanie. Więcej informacji oraz poprawki znaleźć można na stronie projektu Ruby.