Skip to content

Commit 83ed554

Browse files
Gao-Junhlcfan
Gao-Jun
and
hlcfan
authored
Translate "Ruby 3.4.7 Released" and "CVE-2025-61594" (#3637)
Co-authored-by: Alex Shi <hlcfan.yan@gmail.com>
1 parent 504e418 commit 83ed554

File tree

2 files changed

+88
-0
lines changed

2 files changed

+88
-0
lines changed

zh_cn/news/_posts/2025-10-07-ruby-3-4-7-released.md

Lines changed: 52 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,52 @@
1+
---
2+
layout: news_post
3+
title: "Ruby 3.4.7 已发布"
4+
author: k0kubun
5+
translator: "GAO Jun"
6+
date: 2025-10-07 17:14:11 +0000
7+
lang: zh_cn
8+
---
9+
10+
Ruby 3.4.7 已发布。
11+
12+
此次更新包含了 [修复导致 CVE-2025-61594 的 uri gem](/zh_cn/news/2025/10/07/uri-cve-2025-61594/)
13+
详情可参考 [GitHub 发布说明](https://github.com/ruby/ruby/releases/tag/v3_4_7)
14+
15+
我们建议您更新 `uri` gem 版本。此次发布为那些想继续将其作为默认 gem 的用户提供了便利。
16+
17+
## 发布计划
18+
19+
我们计划每2个月发布最新的 Ruby 稳定版本(目前是 Ruby 3.4)。
20+
Ruby 3.4.8 将于十二月发布,3.4.9 将于明年二月发布。
21+
22+
如果存在会影响到大量用户的变更,我们可能会提前发布新版本,后续版本的发布计划也将进行相应变更。
23+
24+
## 下载
25+
26+
{% assign release = site.data.releases | where: "version", "3.4.7" | first %}
27+
28+
* <{{ release.url.gz }}>
29+
30+
文件大小: {{ release.size.gz }}
31+
SHA1: {{ release.sha1.gz }}
32+
SHA256: {{ release.sha256.gz }}
33+
SHA512: {{ release.sha512.gz }}
34+
35+
* <{{ release.url.xz }}>
36+
37+
文件大小: {{ release.size.xz }}
38+
SHA1: {{ release.sha1.xz }}
39+
SHA256: {{ release.sha256.xz }}
40+
SHA512: {{ release.sha512.xz }}
41+
42+
* <{{ release.url.zip }}>
43+
44+
文件大小: {{ release.size.zip }}
45+
SHA1: {{ release.sha1.zip }}
46+
SHA256: {{ release.sha256.zip }}
47+
SHA512: {{ release.sha512.zip }}
48+
49+
## 发布说明
50+
51+
许多提交者、开发人员以及用户提供了问题报告,帮助我们完成了此版本。
52+
感谢他们的贡献。

zh_cn/news/_posts/2025-10-07-uri-cve-2025-61594.md

Lines changed: 36 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,36 @@
1+
---
2+
layout: news_post
3+
title: "CVE-2025-61594: 绕过此前补丁的 URI 敏感信息泄漏"
4+
author: "hsbt"
5+
translator:
6+
date: 2025-10-07 00:00:00 +0000
7+
tags: security
8+
lang: zh_cn
9+
---
10+
11+
我们发布了关于 CVE-2025-61594 的安全建议。
12+
13+
## CVE-2025-61594: 绕过此前补丁的 URI 敏感信息泄漏
14+
15+
在受影响的 URI gem 版本中,对于此前 CVE-2025-27221 的修复,存在可以绕过该修复并泄漏敏感信息的漏洞。
16+
17+
此漏洞的 CVE 编号为 [CVE-2025-61594](https://www.cve.org/CVERecord?id=CVE-2025-61594)
18+
我们建议您更新 `uri` gem。
19+
20+
### 详情
21+
22+
当使用 `+` 操作符拼接 URI 时,原始 URI 中的密码等敏感信息可能会被泄漏,这违反了 RFC3986 规范,并可能导致应用受到敏感信息泄漏的威胁。
23+
24+
请更新 `uri` gem 到 0.12.5, 0.13.3, 1.0.4 或更高版本。
25+
26+
### 受影响版本
27+
28+
* uri gem 版本 低于 0.12.5, 0.13.0 至 0.13.2 以及 1.0.0 至 1.0.3。
29+
30+
### 致谢
31+
32+
感谢 [junfuchong (chongfujun)](https://hackerone.com/chongfujun) 发现此问题。同时感谢 [nobu](https://github.com/nobu) 提供了此漏洞的补丁。
33+
34+
## 历史
35+
36+
* 最初发布于 at 2025-10-07 0:00:00 (UTC)

0 commit comments

Comments
 (0)