* [devel] обновления на packages.altlinux.org
@ 2013-12-09 13:10 Igor Zubkov
0 siblings, 0 replies; only message in thread
From: Igor Zubkov @ 2013-12-09 13:10 UTC (permalink / raw)
To: ALT Linux Team development discussions
Hi,
Я вчера обновил packages.altlinux.org. Изменения:
1. rails 3.2.16. CVE-2013-6417 CVE-2013-4491 CVE-2013-6415
CVE-2013-6414 CVE-2013-4389.
2. rubygems 2.1.11. CVE-2013-4363 CVE-2013-4287
3. devise 2.2.8.
http://blog.plataformatec.com.br/2013/11/e-mail-enumeration-in-devise-in-paranoid-mode/
http://blog.plataformatec.com.br/2013/08/devise-3-1-now-with-more-secure-defaults/
Технические нюансы:
1. CVE-2013-6417 -- workaround отсутствует. "To work around this issue
you need to audit your middleware chain and ensure that each of the
libraries in use does not create an instance of Rack::Request.".
Пришлось просто обновить rails.
https://groups.google.com/forum/#!topic/ruby-security-ann/niK4drpSHT4
2. CVE-2013-4491 -- был подпёрт через workaround.
https://groups.google.com/forum/#!topic/ruby-security-ann/pLrh6DUw998
3. CVE-2013-6415 -- дырка в хелпере number_to_currency. не используется.
4. CVE-2013-6414 -- был подпёрт через workaround.
https://groups.google.com/forum/#!topic/ruby-security-ann/A-ebV4WxzKg
5. CVE-2013-4389 -- был подпёрт через workaround.
https://groups.google.com/forum/#!topic/ruby-security-ann/yvlR1Vx44c8
6. Первая дырка в devise нас не касается.
6. Вторая дырка в devise была тоже подпёрта через workaround.
http://blog.plataformatec.com.br/2013/08/devise-3-1-now-with-more-secure-defaults/
Ну и мелкие фиксы:
1. Исправление поиска. Теперь попытка поискать что-то что похоже на
url (e.g. "http://openbox.org") не приводит к 500 ошибке.
https://github.com/biow0lf/prometheus2.0/commit/76e4fcbfa0bc1319d7067ab91d61647f34b83adb
2. Режим бутстрапа для быстрого добавления пакетов в базу.
https://github.com/biow0lf/prometheus2.0/commit/efa54f4b9d8449ba6f70b1bc0e46a6a294d6745b
3. Теперь вместо rake ts:rebuild используется rake ts:index. Больше
нет 10 минут в сутки даунтайма у поиска.
https://github.com/biow0lf/prometheus2.0/commit/5211ca0fb4a622024acc8b6ed073df362b6a5ef8
4. t7 бранч.
Всё это было исправлено давно, но сейчас всё закомичено в master и он
теперь целый. Из него можно и нужно деплоить.
Ну и за компанию было обновлено много джемов. В данном случае, ничего
интересного.
--
Igor Zubkov
http://hi.im/ice
^ permalink raw reply [flat|nested] only message in thread
only message in thread, other threads:[~2013-12-09 13:10 UTC | newest]
Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-12-09 13:10 [devel] обновления на packages.altlinux.org Igor Zubkov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git