Ruby 3.0.1 等多个版本发布,2.5 正式 EOL
Ruby 发布了四个版本更新,分别是 3.0.1, 2.7.3, 2.6.7 和 2.5.9,更新内容主要是修复安全问题。
Ruby 3.0.1
此版本包括以下安全修复:
- CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability)
- CVE-2021-28966:Windows 上的 Tempfile 存在 Path traversal 问题
更多细节查看 commit logs。
Ruby 2.7.3
此版本包括以下安全修复:
- CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability)
- CVE-2021-28966:Windows 上的 Tempfile 存在 Path traversal 问题
更多细节查看 commit logs。
Ruby 2.6.7
此版本包括以下安全修复:
- CVE-2020-25613:WEBrick 中潜在的 HTTP 请求夹带攻击 (HTTP Request Smuggling Vulnerability)
- CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability)
更多细节查看 commit logs。
此外,Ruby 团队宣布这个版本发布后,他们结束了 Ruby 2.6.x 的正常维护周期,因此 Ruby 2.6 进入了安全维护阶段。这意味着他们将不再将除安全修复程序之外的任何错误修复程序移植到 Ruby 2.6。安全维护阶段的期限计划为一年。在安全维护阶段结束时,Ruby 2.6 将正式 EOL,其官方支持也随之结束。因此,Ruby 团队建议使用 Ruby 2.6 的开发者开始计划升级到 Ruby 2.7 或 3.0。
Ruby 2.5.9
此版本包括以下安全修复:
- CVE-2020-25613:WEBrick 中潜在的 HTTP 请求夹带攻击 (HTTP Request Smuggling Vulnerability)
- CVE-2021-28965:REXML 中的 XML 往返漏洞 (round-trip vulnerability)
更多细节查看 commit logs。
值得注意的是,Ruby 2.5.9 发布后,Ruby 2.5 正式 EOL。换句话说,这是 Ruby 2.5 系列的最后一个版本。因此即使发现安全漏洞,Ruby 团队也不会再发布 Ruby 2.5.10。他们建议所有 Ruby 2.5 用户立即升级到 Ruby 3.0、2.7 或 2.6。
