Ruby解释器缺陷

一个关于Ruby严重缺陷的安全建议刚刚发布，涉及到Ruby 1.8.x和Ruby 1.9：

Ruby中的多处缺陷可使得攻击者进行服务拒绝攻击（DoS）或者执行任意代码。[..]

受影响的版本包括：

1.8 系列
 * 1.8.4和所有先前版本
 * 1.8.5-p230和所有先前版本
 * 1.8.6-p229和所有先前版本
 * 1.8.7-p21和所有先前版本 
1.9 系列
 * 1.9.0-1和所有先前版本

Jeremy Kemper在博客Riding Rails中指出：

如果采用Ruby 1.8.4或者更老版本的话，必须升级到1.8.5或者更新的版本来修复。如果采用1.8.5-7的用户则可以下载最新的补丁级发布来修复。
（请注意：Ruby 1.8.7打破了向后兼容性，只兼容Rails 2.1或者更新的版本，因此可别鲁莽行事！）

此问题由Apple产品安全部门的Drew Yao所发现。

在推荐升级的同时，也提醒使用者确认升级不会对应用程序造成影响。RubyInside的文章阐述了，当升级至修复版本1.8.6（1.8.6-p230）时，修复缺陷可能带来的兼容性或稳定性的问题，同时也被回复在Jeremy的博客之上。

要了解更多关于修复缺陷的问题，请看“Drew Yao的恐怖Ruby缺陷的更新”，文中展示了集中可以本地触发问题的方法，并指出了Ruby SVN仓库中的修改。

因为缺陷是在1.8.x和1.9.x的原生代码中找到，所以其他的例如JRuby等Ruby实现未受影响。

查看英文原文：Ruby interpreter vulnerabilities