Développement web

Une vulnérabilité de déni de service (DoS) a été découverte dans la gem resolv fournie avec Ruby. Cette vulnérabilité a reçu l?identifiant CVE-2025-24294. Nous recommandons de mettre à jour la gem resolv.

Détails

La vulnérabilité est causée par une vérification insuffisante de la longueur d?un nom de domaine décompressé à l?intérieur d?un paquet DNS.

Un attaquant peut créer un paquet DNS malveillant contenant un nom de domaine fortement compressé. Lorsqu?une bibliothèque resolv analyse un tel paquet, le processus de décompression du nom consomme une grande quantité de ressources CPU, car la bibliothèque ne limite pas la longueur du nom résultant.

Cette consommation excessive de ressources peut rendre le thread de l?application non réactif, entraînant une situation de déni de service.

Versions affectées

La vulnérabilité affecte la gem resolv fournie avec les séries Ruby suivantes :

• Série Ruby 3.2 : resolv version 0.2.2 et antérieures
• Série Ruby 3.3 : resolv version 0.3.0
• Série Ruby 3.4 : resolv version 0.6.1 et antérieures

Remerciements

Merci à Manu pour avoir découvert cette vulnérabilité.

Historique

• Publication initiale le 2025-07-08 07:00:00 (UTC)

Posté par mame le 2025-07-08
Traduit par Florent Drousset

Ruby 3.4.4 est sorti.

Cette version inclut une correction d?un bug dans YJIT lié aux variables locales, ainsi qu?une correction d?un problème de compilation sous Windows lors de l?utilisation de GCC 15. Elle a été publiée plus tôt que prévu afin de rendre ces correctifs disponibles dès que possible. Quelques autres corrections de bugs sont également incluses.

Veuillez consulter les notes de version sur GitHub pour plus de détails.

Calendrier des sorties

Nous avons pour objectif de publier la dernière version stable de Ruby (actuellement Ruby 3.4) tous les deux mois suivant la dernière sortie. Après cette version (3.4.4), Ruby 3.4.5 est prévue pour juillet, 3.4.6 pour septembre, 3.4.7 pour novembre et 3.4.8 pour janvier.

Si un changement ayant un impact significatif sur les utilisateurs survient, une version pourra être publiée plus tôt que prévu, et le calendrier suivant pourra être ajusté en conséquence.

Téléchargement

• https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.4.tar.gz

  TAILLE : 23204581
  SHA1 : aff18f17868d076f4516ea4209931ad55b264f73
  SHA256 : a0597bfdf312e010efd1effaa8d7f1d7833146fdc17950caa8158ffa3dcbfa85
  SHA512 : ec52e338a9558e5fb0975be4249ff47a2d8c7926d8ae3af58f4e5a233f400f75da88ce8254bac7a8cd7a6b0b87fd4eb7315944c76be43719782bd0c16040197b
  

• https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.4.tar.xz

  TAILLE : 17255388
  SHA1 : 83ddf983c194b353634e91a86b466ce0d01bff39
  SHA256 : f76d63efe9499dedd8526b74365c0c811af00dc9feb0bed7f5356488476e28f4
  SHA512 : 0d258cf790daad424c866404b5cbdc8adba0e4e13764847a89adf2335229e5184095c9f3e9594705897697e48bcc322d9a9f919b04047abb2075daca9fce8871
  

• https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.4.zip

  TAILLE : 28372208
  SHA1 : 77377010d19109939fe11cadf1c210deda8ec202
  SHA256 : 7c64e2c303ef8433e01cb3afd9be094707a9aa60355fcee08d12ca90e1e46399
  SHA512 : f8dada5fae978b3eb82ed6863d3e8e25dfd90b3348eace2400d7428b0a1a9362bf88dc3138ef4b68bc5aaff781e90388e428390f5f55c5667fd24e4754544814
  

Remerciements

De nombreux contributeurs, développeurs et utilisateurs ayant signalé des bugs ont aidé à la réalisation de cette version. Merci à eux pour leurs contributions.

Posté par k0kubun le 2025-05-14
Traduit par Florent Drousset

Il existe une possibilité d?attaque par déni de service (DoS) dans la gem net-imap. Cette vulnérabilité a reçu l?identifiant CVE CVE-2025-43857. Nous recommandons de mettre à jour la gem net-imap.

Détails

Un serveur malveillant peut envoyer un compteur d?octets « literal » qui est automatiquement lu par le thread récepteur du client. Le lecteur de réponses alloue immédiatement la mémoire correspondant au nombre d?octets indiqué par la réponse du serveur. Cela ne pose pas de problème lors d?une connexion sécurisée à des serveurs IMAP de confiance et bien configurés. En revanche, cela affecte les connexions non sécurisées et les serveurs défectueux, non fiables ou compromis (par exemple, une connexion vers un nom d?hôte fourni par un utilisateur).

Veuillez mettre à jour la gem net-imap vers la version 0.2.5, 0.3.9, 0.4.20, 0.5.7 ou ultérieure.

Lors d?une connexion à des serveurs non fiables ou en utilisant une connexion non sécurisée, il est nécessaire de configurer correctement max_response_size et les gestionnaires de réponses afin de limiter la consommation mémoire. Voir GHSA-j3g3-5qv5-52mj pour plus de détails.

Versions affectées

Les versions de la gem net-imap affectées sont : <= 0.2.4, 0.3.0 à 0.3.8, 0.4.0 à 0.4.19, et 0.5.0 à 0.5.6.

Crédits

Merci à Masamune pour avoir découvert ce problème.

Historique

• Publié initialement le 2025-04-28 16:02:04 (UTC)

Posté par nevans le 2025-04-28
Traduit par Florent Drousset

Nous avons le plaisir d?annoncer la sortie de Ruby 3.5.0-preview1. Ruby 3.5 met à jour sa version Unicode vers 15.1.0, et plus encore.

Changements du langage

• *nil n?appelle plus nil.to_a, de la même façon que **nil n?appelle pas nil.to_hash. [Feature #21047]

Mises à jour des classes Core

Note : nous listons uniquement les changements notables des classes Core.

• Binding

  • Binding#local_variables n?inclut plus les paramètres numérotés. De plus, Binding#local_variable_get et Binding#local_variable_set refusent désormais de gérer les paramètres numérotés. [Bug #21049]

• IO

  • IO.select accepte désormais +Float::INFINITY+ comme argument de timeout. [Feature #20610]

• String

  • Mise à jour vers Unicode Version 15.1.0 et Emoji Version 15.1. [Feature #19908] (s?applique aussi aux expressions rationnelles Regexp)

Mises à jour de la bibliothèque standard

Note : nous listons uniquement les mises à jour notables des bibliothèques standard.

• ostruct 0.6.1
• pstore 0.2.0
• benchmark 0.4.0
• logger 1.7.0
• rdoc 6.13.1
• win32ole 1.9.2
• irb 1.15.2
• reline 0.6.1
• readline 0.0.4
• fiddle 1.1.6

Problèmes de compatibilité

Note : hors corrections de bugs liés aux fonctionnalités.

Problèmes de compatibilité des bibliothèques standard

Mises à jour de l?API C

Autres changements divers

Voir NEWS ou les journaux de commits pour plus de détails.

Avec ces changements, 2065 fichiers modifiés, 36581 ajouts(+), 203037 suppressions(-) depuis Ruby 3.4.0 !

Téléchargement

• https://cache.ruby-lang.org/pub/ruby/3.5/ruby-3.5.0-preview1.tar.gz

  TAILLE : 23146162
  SHA1   : ee0fcfe1342116f05060279ff0c9eb1e215db0b9
  SHA256 : ecf09c7eb902e91cdaf9cc553cd00cca9b848b3fc0e14297850f9ab08cdd46f0
  SHA512 : d718973648705636eff5933a0919132fd1f6b9afea432e09cce1265c6e0125e11cc94dbff84cba1caefc03190c48d8af4a27337d2af031f3f1660ca3a3531211
  

• https://cache.ruby-lang.org/pub/ruby/3.5/ruby-3.5.0-preview1.tar.xz

  TAILLE : 17443928
  SHA1   : 8a78a9189afa20cde42207a466bcf7d421ee144b
  SHA256 : c6cc1e9f23fe4719b024b8305345ca0cff4e1bc159f3ebff86cb5b87969863aa
  SHA512 : 835bd0b65d546722c83b0ab454256357b48898a0de9aa8e38966f53d2370a6e99552eeaff76a0b680aefbbe7491e701e5e7357797e50f063c53e79d9561c1dac
  

• https://cache.ruby-lang.org/pub/ruby/3.5/ruby-3.5.0-preview1.zip

  TAILLE : 28548713
  SHA1   : bd0c32bc84ac1ce9edbc9c0a50e8c72e56b1229d
  SHA256 : 3e1d9df578c69976a01a69b961819d00c4e8942f8b5fe4fb8e135fca4f7e7e5e
  SHA512 : 47057e1615b2b59d5bbd0d6629e1320ed74f3d70748f1db4e8b88d6c8a3ecd255eacc7dac0cccd01923fae4b4dff9e6b9457a9858c81dab81c1ab9ee514b15fa
  

Qu?est-ce que Ruby

Ruby a été développé pour la première fois par Matz (Yukihiro Matsumoto) en 1993, et est maintenant développé comme un logiciel Open Source. Il fonctionne sur de multiples plateformes et est utilisé dans le monde entier, en particulier pour le développement web.

Posté par naruse le 2025-04-18
Traduit par Florent Drousset

Ruby 3.4.3 est sorti.

Ceci est une mise à jour de routine incluant des corrections de bugs. Veuillez consulter les notes de version sur GitHub pour plus de détails.

Calendrier des versions

Nous prévoyons de publier la dernière version stable de Ruby (actuellement Ruby 3.4) tous les 2 mois. Ruby 3.4.4 sortira en juin, 3.4.5 en août, 3.4.6 en octobre et 3.4.7 en décembre.

Si un changement affecte un grand nombre de personnes, ces versions pourront être publiées plus tôt que prévu.

Téléchargement

• https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.3.tar.gz

  TAILLE : 23194448
  SHA1   : c269cd122ab9d4620a1e0e6a8f4de378deec3799
  SHA256 : 55a4cd1dcbe5ca27cf65e89a935a482c2bb2284832939266551c0ec68b437f46
  SHA512 : 7019889939713c3e649003fed4d973dced36239fc354cfdee2d01dbdeb7e8512881a31b00efc3d5017f08cd492aed7914d15927bc8d076c0cae7534273e471e9
  

• https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.3.tar.xz

  TAILLE : 17230984
  SHA1   : d0d86fdfe6bcf9f2eb3b450f3209f655ceda86da
  SHA256 : 174dcd8c516694f833fd3c93ea227fa6c3321464577a3882a6fc7e4fe20237fd
  SHA512 : b30aad675cdcc1bdfe9e5fffe9d1925db3b3ac854a5e34180c368bc6e66f73e29ba5d802fea249353b7d799c01384c58bdd763fd1b679303158baa7824b9c08e
  

• https://cache.ruby-lang.org/pub/ruby/3.4/ruby-3.4.3.zip

  TAILLE : 28356998
  SHA1   : 87cb747a766660cf487a2e9dbbc7a18a8f6b65d9
  SHA256 : 06b8bf2ddf2642327c992d30f5d414ffa5a5df0c4c706d7b2507b42509fb5055
  SHA512 : b25289c899318ce5071b075fc1b75f602e0a543faeefa44df7e8064933500f9c357685fe21d09abc4034d481c22c89491c841f596d07e1cd269d800e6266cc24
  

Commentaire sur la version

De nombreux contributeurs, développeurs et utilisateurs ayant fourni des rapports de bugs nous ont aidés à réaliser cette version. Merci pour leurs contributions.

Posté par k0kubun le 2025-04-14
Traduit par Florent Drousset

[...]

[...]

[...]

[...]

[...]