Ruby

Mehrere jQuery-Schwachstellen in RDoc

Gepostet von aycabta am 28. Aug 2019

Es gibt mehrere Schwachstellen bezüglich Cross-Site Scripting (XSS) in jQuery, das mit RDoc, das in Ruby gebündelt ist, geliefert wird. Allen Ruby-Benutzern wird empfohlen, Ruby auf die neueste Version zu aktualisieren, die die korrigierte Version von RDoc enthält.

Details

Die folgenden Schwachstellen wurden gemeldet.

Es wird dringend empfohlen, dass alle Ruby-Benutzer ihre Ruby-Installation so bald wie möglich aktualisieren oder eine der folgenden Problemumgehungen ergreifen. Sie müssen auch bestehende RDoc-Dokumentationen neu generieren, um die Schwachstellen vollständig zu beheben.

Betroffene Versionen

  • Ruby 2.3 Serie: alle
  • Ruby 2.4 Serie: 2.4.6 und früher
  • Ruby 2.5 Serie: 2.5.5 und früher
  • Ruby 2.6 Serie: 2.6.3 und früher
  • vor dem Master-Commit f308ab2131ee675000926540cbb8c13c91dc3be5

Erforderliche Maßnahmen

RDoc ist ein Werkzeug zur Generierung statischer Dokumentationen. Das Werkzeug selbst zu patchen ist nicht ausreichend, um diese Schwachstellen zu beheben.

Daher müssen RDoc-Dokumentationen, die mit früheren Versionen generiert wurden, mit einem neueren RDoc neu generiert werden.

Problemumgehungen

Grundsätzlich sollten Sie Ihre Ruby-Installation auf die neueste Version aktualisieren. RDoc 6.1.2 oder neuer enthält die Korrektur für die Schwachstellen. Aktualisieren Sie RDoc daher auf die neueste Version, wenn Sie Ruby selbst nicht aktualisieren können.

Beachten Sie, dass, wie bereits erwähnt, bestehende RDoc-Dokumentationen neu generiert werden müssen.

gem install rdoc -f

Update: Die ursprüngliche Version dieses Beitrags erwähnte teilweise rdoc-6.1.1.gem, das immer noch anfällig war. Bitte stellen Sie sicher, dass Sie rdoc-6.1.2 oder neuer installieren.

Bezüglich der Entwicklungsversion, aktualisieren Sie auf den neuesten HEAD des Master-Branches.

Credits

Vielen Dank an Chris Seaton für die Meldung des Problems.

Verlauf

  • Ursprünglich veröffentlicht am 2019-08-28 09:00:00 UTC
  • RDoc-Version behoben am 2019-08-28 11:50:00 UTC
  • Kleinere sprachliche Korrekturen am 2019-08-28 12:30:00 UTC

Aktuelle Nachrichten

Ruby 4.0.0 veröffentlicht

Wir freuen uns, die Veröffentlichung von Ruby 4.0.0 bekannt zu geben. Ruby 4.0 führt „Ruby Box“ und „ZJIT“ ein und bringt viele Verbesserungen mit sich.

Veröffentlicht von naruse am 25. Dez 2025

Ein neuer Look für Rubys Dokumentation

Nach dem Redesign von ruby-lang.org gibt es weitere Neuigkeiten zur Feier des 30-jährigen Jubiläums von Ruby: docs.ruby-lang.org hat ein komplett neues Erscheinungsbild mit Aliki – dem neuen Standard-Theme von RDoc.

Veröffentlicht von Stan Lo am 23. Dez 2025

Neues Website-Erscheinungsbild

Wir freuen uns, ein umfassendes Redesign unserer Website bekannt zu geben. Das Design für dieses Update wurde von Taeko Akatsuka erstellt.

Veröffentlicht von Hiroshi SHIBATA am 22. Dez 2025

Ruby 4.0.0 preview3 veröffentlicht

Wir freuen uns, die Veröffentlichung von Ruby 4.0.0-preview3 bekannt zu geben. Ruby 4.0 führt Ruby::Box und „ZJIT“ ein und bringt viele Verbesserungen mit sich.

Veröffentlicht von naruse am 18. Dez 2025

Weitere Neuigkeiten...