LINUX.ORG.RU

Исправление уязвимостей в Ruby on Rails

 , ,


1

3

Встречайте новые исправления критических уязвимостей в фреймворке Ruby on Rails.
Была выпущена новая порция обновлений популярного фреймворка – 3.2.12, 3.1.11 и 2.3.17.

Всем пользователям Ruby on Rails рекомендуется как можно скорее обновить свои системы.

Подробнее об уязвимостях:

Список изменений в версиях:

  • 3.2.12
    • закрыта уязвимость в attr_protected
  • 3.1.11
    • закрыта уязвимость в attr_protected и YAML
  • 2.3.17
    • закрыта уязвимость в attr_protected и YAML

Также вышло обновление для гема JSON, закрывающее уязвимость CVE-2013-0269 ...

>>> Подробности

★★★★★

Проверено: maxcom ()
Последнее исправление: shahid (всего исправлений: 5)
Ответ на: комментарий от Spirit_of_Stallman

А зачем к каждой новости о рельсах звать тех, кто просто на ruby подписан?

Хм. Думаешь не надо? Сделал как и раньше писали. :)
PS: Сейчас уберу.

renya ★★★★★
() автор топика
Ответ на: комментарий от renya

зря этаж новость входит в категорию руби, значит можно, а то что народ подписался на категорию linux и получает все посты лора это их пробелмы

Deleted
()
Ответ на: комментарий от renya

Ну, я интересуюсь рубинами, но мне вовсе не интересны рельсы, к примеру, и никак я с ними не пересекаюсь.
Думаю это не такие уж и смежные темы. На рельсы есть 14 подписчиков, и не зря, полагаю.
А за учитывавшие просьбы - отдельное спасибо :)

Spirit_of_Stallman ★★★
()
Последнее исправление: Spirit_of_Stallman (всего исправлений: 1)
Ответ на: комментарий от Spirit_of_Stallman

Ну, еще выскажут своё мнение люди, можно будет вывести верный вариант на следующий раз :)

Согласен, но не забывай, что мы на ЛОРе … Тут много всяких личностей. (;

renya ★★★★★
() автор топика
Ответ на: комментарий от renya

Согласен, но не забывай, что мы на ЛОРе … Тут много всяких личностей. (;

Ох не забываю, милейший, не забываю :)
А иногда сам опускаюсь до «личности на ЛОРе» :D

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от Spirit_of_Stallman

милейший

мне аш икнулось

Deleted
()

мне теперь «рейлсшето» будет сниться: drakmail в рабочем багтрекере заюзал это слово, чтобы пнуть меня на апдейт

няшечка, добавь описаний уязвимостей, пожалуйста

DoctorSinus ★★★★★
()
Ответ на: комментарий от renya

Как выяснилось, как минимум один самурай ничего против не имеет.
Да и потом, это еще надо посмотреть, чье конфу сильнее :}

Virtuos86 ★★★★★
()
Ответ на: комментарий от anonymous

Интересно, почему незнающие и недалекие называют метапрограммирование в Ruby магией? Я вот Scala не знаю, так что, мне теперь говорить, что в Scala магия?

P.S. В Lisp, и даже в Erlang есть метапрограммирование, и никто это магией не называет. Интересно почему?

anonymous
()
Ответ на: комментарий от anonymous

Чем проще тем лучше.

Метапрограммирование позволяет частично перейти от кодирования алгоритма к его описанию.

Полный отказ от объектов ООП (в современном виде) в пользу функционального программирования (ФП), позволил бы еще дальше продвинуться в переходе от кодирования к описанию алгоритмов и в более легкой и компактной форме, что позволило бы выявлять ошибки в алгоритмах на раннем этапе.

Deleted
()
Ответ на: комментарий от yanka

Потому что оно никому не нужно.

anonymous
()

Опять YAML или это старые закрыли? Что они там с ним делают в рельсах?

Deleted
()
Ответ на: комментарий от Deleted

Не, от ООП отказываться не будем. Надо отказаться частично от устаревшего подхода Классо-Ориентированного Программирования, которое родилось во времена молодости C++, Java.

Ruby ведь хороший пример, ограниченности этой модели.

А Erlang - хороший классический пример ООП по Алану Кею. Объекты, которые обмениваются сообщениями, и которые не привязаны к определенной машине, и вполне могут быть на разных физических машинах. Объекты в данном случае - это собственно процессы в Erlang, а OTP - вполне себе паттерны поведения.

anonymous
()
Ответ на: комментарий от Deleted

Не, видимо по стопам YAML, решили потыкать JSON. (=

anonymous
()
Ответ на: комментарий от anonymous

Про Ruby хотел бы уточнить, что я имею ввиду не ограниченность Ruby, а наоборот, то что, он показал много новых возможностей и концепций в работе с объектами и классами, которые невозможно или сложно реализовать в C++, Java.

anonymous
()
Ответ на: комментарий от anonymous

А есть еще какие-то инструменты которые направлены на эту цель? Тоесть где смешано функциональное программирование с объектным. И где больше используется метапрограммирование. Кто дальше руби зашел?

stonedmind
()
Ответ на: комментарий от stonedmind

Ну наверное немного некорректно, говорить что в Ruby сильно больше других ушли в метапрограммирование. Скорее они сделали ставку на DSL в ООП, что потом привело к тому, что имеем.

Но кроме Ruby, канонический пример и собственно родитель метапрограммирования в практическом применении (если я не ошибаюсь) - Lisp. И Clojure как его потомок на JVM. Может быть в Scala есть. Но увы, с двумя последними языками я не знаком, кроме как по поверхностным статьям.

Есть еще Elixir (http://elixir-lang.org). Это проект по портированию Ruby на ErlangVM. Бывший проект. Ныне, это самостоятельный язык поверх ErlangVM, в котором сильное влияние Ruby и Erlang, и есть метапрограммирование в достаточном количестве.

Ну и при достаточной доле извращения, метапрограммировать не хуже можно и на JavaScript, и на Python. Только это уже извращение будет.

Может быть есть еще что-то, но я этого уже не знаю. Возможно еще кто-то подскажет языки.

anonymous
()
Ответ на: комментарий от anonymous

Спасибо. С JS знакм тесно, но пока даже не думал о мета программировании в нем. Эликсир интересно глянуть. Кстати, сожет еще в луа такое возможно?

stonedmind
()
Ответ на: комментарий от anonymous

он показал много новых возможностей и концепций в работе с объектами и классами

Ты зачем такой бестолковый? Этим «новым возможностям» уже сто лет в обед.

// да, совсем плохой анонимус нынче пошел

linuxnewb
()
Ответ на: комментарий от Spirit_of_Stallman

А зачем к каждой новости о рельсах звать тех, кто просто на ruby подписан?

А разве на руби еще что-то более-менее стоящее кроме рейлса написано?

provaton ★★★★★
()
Ответ на: комментарий от anonymous

Интересно, почему незнающие и недалекие называют метапрограммирование в Ruby магией?

Магия - это просто плохой стиль метапрограммирования.

provaton ★★★★★
()
Ответ на: комментарий от Deleted

Метапрограммирование позволяет частично перейти от кодирования алгоритма к его описанию.

Главное вовремя остановиться, а с этим обычно такие проблемы, что проще не рисковать :)

Vit ★★★★★
()
Ответ на: комментарий от linuxnewb

Как бы Ruby тоже далеко не молод. Многое из того, что мы имеем в современных языках - уже давно придумано, и с этим я спорить не буду.

Другое дело, что многое из того, что сейчас есть в современных языках - было разрозненым. Заслуга Ruby как в «первооткрывателе», именно в том, что язык объединил в себе много приемов и подходов в элегантном стиле, и показал как со всем этим жить одновременно.

Я много языков не знаю, но вот хотелось бы узнать, о языках, в которых ООП имеет более расширенную, нежели каноническая, форму, тесно сплетен с приемами метапрограммирования. Ну за исключением LISP CLOS, разве что.

anonymous
()
Ответ на: комментарий от provaton

Плохой стиль программирования - это быдлокод. А магия в Ruby - это непонимание языка и его языковых конструкций сторонним человеком, который пытается свою лень и незнание, скрыть за придирками к языку.

anonymous
()
Ответ на: комментарий от provaton

Какие-то нынче совсем никакие джангисты пошли. Не то, что раньше были. C теми приятно работать и общаться было, а нынче кроме необоснованного троллинга ничего не услышать. Печаль.

anonymous
()
Ответ на: комментарий от anonymous

4 уязвимости за 2012, все закрытые.

anonymous
()
Ответ на: комментарий от anonymous

Заслуга Ruby как в «первооткрывателе»

Ты бы хоть книхки почитал, чтоб так не позориться.

подходов в элегантном стиле,

monkey patching?

linuxnewb
()

Кстати о тэгах, хм.. питонщиков здесь больше.., а пыхеров только чуть (но я уверен они просто не осилили тэги)).

special-k ★★★★
()
Последнее исправление: special-k (всего исправлений: 3)
Ответ на: комментарий от linuxnewb

Лучше ты не позорься, так как видимо кроме monkey patch'а ты ни о чем и не слышал ;)

Собственно, ты как «начитанный», ни одного примера по моим вопросам не привел, сославшись на весьма призрачные книжки (опять таки, какие?).

Если ты начитан и крут, поделись с другими, и лично я тебя с интересом выслушаю, и приму твою правоту, если она имеется.

anonymous
()
Ответ на: комментарий от IPR

Было про YAML сериализацию, ныне уязвимость в геме json.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.