ruby · ablzh · Nov 16, 2025 · Nov 16, 2025 · Nov 16, 2025
@@ -0,0 +1,70 @@
+---
+layout: news_post
+title: "Рекомендации по безопасности: CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221"
+author: "hsbt"
+translator: "ablzh"
+date: 2025-02-26 07:00:00 +0000
+tags: security
+lang: ru
+---
+
+Мы опубликовали рекомендации по безопасности для CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221. Подробности читайте ниже.
+
+## CVE-2025-27219: Denial of Service в `CGI::Cookie.parse`.
+
+Существует возможность DoS в геме cgi. Этой уязвимости присвоен CVE идентификатор [CVE-2025-27219](https://www.cve.org/CVERecord?id=CVE-2025-27219). Мы рекомендуем обновить гем cgi.
+
+### Подробности
+
+`CGI::Cookie.parse` в некоторых случаях требовал сверхлинейное время для разбора строки cookie. Передача вредоносно сформированной строки cookie в метод может привести к отказу в обслуживании.
+
+Пожалуйста, обновите гем CGI до версии 0.3.5.1, 0.3.7, 0.4.2 или новее.
+
+### Уязвимые версии
+
+* гем cgi версии <= 0.3.5, 0.3.6, 0.4.0 и 0.4.1.
+
+### Благодарности
+
+Спасибо [lio346](https://hackerone.com/lio346) за обнаружение этой проблемы. Также спасибо [mame](https://github.com/mame) за исправление этой уязвимости.
+
+## CVE-2025-27220: ReDoS в `CGI::Util#escapeElement`.
+
+Существует возможность ReDoS (Regular expression Denial of Service) в геме cgi. Этой уязвимости присвоен CVE идентификатор [CVE-2025-27220](https://www.cve.org/CVERecord?id=CVE-2025-27220). Мы рекомендуем обновить гем cgi.
+
+### Подробности
+
+Регулярное выражение, используемое в `CGI::Util#escapeElement` уязвимо к ReDoS Специально созданный ввод может привести к высокому потреблению ресурсов процессора.
+
+Эта уязвимость затрагивает только Ruby 3.1 и 3.2. Если вы используете эти версии, пожалуйста, обновите гем CGI до версии 0.3.5.1, 0.3.7, 0.4.2 или новее.
+
+### Уязвимые версии
+
+* гем cgi версии <= 0.3.5, 0.3.6, 0.4.0 и 0.4.1.
+
+### Благодарности
+
+Спасибо [svalkanov](https://hackerone.com/svalkanov) за обнаружение этой проблемы. Также спасибо [nobu](https://github.com/nobu) за исправление этой уязвимости.
+
+
+## CVE-2025-27221: Утечка userinfo в `URI#join`, `URI#merge` и `URI#+`.
+
+Существует возможность утечки userinfo в геме uri. Этой уязвимости присвоен CVE идентификатор [CVE-2025-27221](https://www.cve.org/CVERecord?id=CVE-2025-27221). Мы рекомендуем обновить гем uri.
+
+### Подробности
+
+Методы `URI#join`, `URI#merge` и `URI#+` сохраняли userinfo, такой как `user:password`, даже после замены хоста. При генерации URL-адреса для вредоносного хоста из URL, содержащего секретный userinfo, с использованием этих методов, и последующем переходе пользователя по этому URL, может произойти непреднамеренная утечка userinfo.
+
+Пожалуйста, обновите гем URI до версии 0.11.3, 0.12.4, 0.13.2, 1.0.3 или новее.
+
+### Уязвимые версии
+
+* гем uri версии < 0.11.3, с 0.12.0 до 0.12.3, 0.13.0, 0.13.1 и с 1.0.0 до 1.0.2.
+
+### Благодарности
+
+Спасибо [Tsubasa Irisawa (lambdasawa)](https://hackerone.com/lambdasawa) за обнаружение этой проблемы. Также спасибо [nobu](https://github.com/nobu) за дополнительные исправления этой уязвимости.
+
+## История
+
+* Впервые опубликовано 2025-02-26 7:00:00 (UTC)
@@ -0,0 +1,46 @@
+---
+layout: news_post
+title: "Вышел Ruby 3.1.7"
+author: hsbt
+translator: "ablzh"
+date: 2025-03-26 04:44:27 +0000
+lang: ru
+---
+
+Вышла новая версия Ruby 3.1.7. В этот релиз вошли [исправления CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221](https://www.ruby-lang.org/ru/news/2025/02/26/security-advisories/) и обновление встроенных гемов REXML и RSS.
+
+Пожалуйста, смотрите [заметки о релизе на GitHub](https://github.com/ruby/ruby/releases/tag/v3_1_7) для получения более подробной информации.
+
+Эта версия является финальным релизом серии Ruby 3.1. Мы не будем предоставлять никаких дальнейших обновлений, включая исправления уязвимостей, для серии Ruby 3.1.
+
+Мы рекомендуем вам обновиться до Ruby 3.3 или 3.4.
+
+## Скачать
+
+{% assign release = site.data.releases | where: "version", "3.1.7" | first %}
+
+- <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+- <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+- <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Комментарий к релизу
+
+Многие коммиттеры, разработчики и пользователи, предоставившие отчёты об ошибках, помогли нам подготовить этот релиз.
+Спасибо за их вклад.
@@ -0,0 +1,46 @@
+---
+layout: news_post
+title: "Вышел Ruby 3.2.8"
+author: hsbt
+translator: "ablzh"
+date: 2025-03-26 04:45:01 +0000
+lang: ru
+---
+
+Вышел Ruby 3.2.8. В этот релиз вошли [исправления CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221](https://www.ruby-lang.org/ru/news/2025/02/26/security-advisories/).
+
+Пожалуйста смотрите [заметки о релизе на GitHub](https://github.com/ruby/ruby/releases/tag/v3_2_8) для получения более подробной информации.
+
+Эта версия является последней версией в рамках обычного цикла поддержки серии Ruby 3.2. Мы будем исправлять только уязвимости безопасности для серии Ruby 3.2 до конца марта 2026 года.
+
+Пожалуйста, рассмотрите возможность обновиться до Ruby 3.3 или 3.4.
+
+## Скачать
+
+{% assign release = site.data.releases | where: "version", "3.2.8" | first %}http://127.0.0.1:4000
+
+- <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+- <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+- <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## Комментарий к релизу
+
+Многие коммиттеры, разработчики и пользователи, предоставившие отчёты об ошибках, помогли нам подготовить этот релиз.
+Спасибо за их вклад.