博客
返回博客文章
2018 年 2 月 15 日
2.7.6 已发布
作者:塞缪尔·吉丁斯
RubyGems 2.7.6 已包含安全修复。
你可以运行以下命令来更新到最新的 RubyGems
gem update --system
如果你需要升级或降级,请按照 如何升级/降级 RubyGems 说明进行操作。要手动安装 RubyGems,请参阅 下载 RubyGems 页面。
安全修复
- 修复了在根目录之外的符号链接化基本目录中写入时出现的路径遍历。此问题由 nmalkin 和 David Fifield 发现,由 Jonathan Claudius 和塞缪尔·吉丁斯修复。
- 修复了宝石所有者中可能存在的对象反序列化漏洞。此问题由 Jonathan Claudius 修复。
- 严格解析 tar 头部中的八进制字段。此问题由 plover 发现,由塞缪尔·吉丁斯修复。
- 当包中存在重复文件时,引发安全错误。此问题由 plover 发现,由塞缪尔·吉丁斯修复。
- 在 spec 首页属性中强制实施 URL 验证。此问题由 Yasin Soliman 发现,由 Jonathan Claudius 修复。
- 减轻了通过
gem 服务器显示的首页属性中的 XSS 漏洞。此问题由 Yasin Soliman 发现,由 Jonathan Claudius 修复。 - 修复了宝石安装期间的路径遍历问题。此问题由 nmalkin 和 David Fifield 发现。
SHA256 校验和
- rubygems-2.7.6.tgz
67f714a582a9ce471bbbcb417374ea9cf9c061271c865dbb0d093f3bc3371eeb - rubygems-2.7.6.zip
d6faa4cdde966db45f3e8d9d517f13bad511f7f0042b448688513ab4fb92d598 - rubygems-update-2.7.6.gem
ee5ef219ac97f5499c31e6071eae424c3265620ece33b5cc66e09fa30f22086a