From: Igor Zubkov <igor.zubkov@gmail.com>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: [devel] обновления на packages.altlinux.org
Date: Mon, 9 Dec 2013 15:10:24 +0200
Message-ID: <CAJXf7QN4TLGax564mLN4AF4EaabZdNOfx-caFHManHESywh-Xw@mail.gmail.com> (raw)
Hi,
Я вчера обновил packages.altlinux.org. Изменения:
1. rails 3.2.16. CVE-2013-6417 CVE-2013-4491 CVE-2013-6415
CVE-2013-6414 CVE-2013-4389.
2. rubygems 2.1.11. CVE-2013-4363 CVE-2013-4287
3. devise 2.2.8.
http://blog.plataformatec.com.br/2013/11/e-mail-enumeration-in-devise-in-paranoid-mode/
http://blog.plataformatec.com.br/2013/08/devise-3-1-now-with-more-secure-defaults/
Технические нюансы:
1. CVE-2013-6417 -- workaround отсутствует. "To work around this issue
you need to audit your middleware chain and ensure that each of the
libraries in use does not create an instance of Rack::Request.".
Пришлось просто обновить rails.
https://groups.google.com/forum/#!topic/ruby-security-ann/niK4drpSHT4
2. CVE-2013-4491 -- был подпёрт через workaround.
https://groups.google.com/forum/#!topic/ruby-security-ann/pLrh6DUw998
3. CVE-2013-6415 -- дырка в хелпере number_to_currency. не используется.
4. CVE-2013-6414 -- был подпёрт через workaround.
https://groups.google.com/forum/#!topic/ruby-security-ann/A-ebV4WxzKg
5. CVE-2013-4389 -- был подпёрт через workaround.
https://groups.google.com/forum/#!topic/ruby-security-ann/yvlR1Vx44c8
6. Первая дырка в devise нас не касается.
6. Вторая дырка в devise была тоже подпёрта через workaround.
http://blog.plataformatec.com.br/2013/08/devise-3-1-now-with-more-secure-defaults/
Ну и мелкие фиксы:
1. Исправление поиска. Теперь попытка поискать что-то что похоже на
url (e.g. "http://openbox.org") не приводит к 500 ошибке.
https://github.com/biow0lf/prometheus2.0/commit/76e4fcbfa0bc1319d7067ab91d61647f34b83adb
2. Режим бутстрапа для быстрого добавления пакетов в базу.
https://github.com/biow0lf/prometheus2.0/commit/efa54f4b9d8449ba6f70b1bc0e46a6a294d6745b
3. Теперь вместо rake ts:rebuild используется rake ts:index. Больше
нет 10 минут в сутки даунтайма у поиска.
https://github.com/biow0lf/prometheus2.0/commit/5211ca0fb4a622024acc8b6ed073df362b6a5ef8
4. t7 бранч.
Всё это было исправлено давно, но сейчас всё закомичено в master и он
теперь целый. Из него можно и нужно деплоить.
Ну и за компанию было обновлено много джемов. В данном случае, ничего
интересного.
--
Igor Zubkov
http://hi.im/ice
reply other threads:[~2013-12-09 13:10 UTC|newest]
Thread overview: [no followups] expand[flat|nested] mbox.gz Atom feed
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CAJXf7QN4TLGax564mLN4AF4EaabZdNOfx-caFHManHESywh-Xw@mail.gmail.com \
--to=igor.zubkov@gmail.com \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git