노코지리를 1.8.2에서 1.10.8로 늘리다
7534 단어 deepjargon
묘사
1.8.2에서 1.10.8까지의 충돌nokogiri.릴리즈 노트
* [nokogiri 버전](https://github.com/sparklemotion/nokogiri/releases).*
> ## 1.10.8/2020-02-10
>
>####안전
>
>[MRI] CVE-2020-7595를 해결하는libxml에서 상위 패치를 도입했습니다.자세한 내용은 [1992](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1992). 이 패치는 (2020-02-10 기준)libxml의 업스트림 버전에서 릴리즈되지 않았습니다.
>
>
>
> ## 1.10.7/2019-12-03
>
>###벌레
>
>*[MRI] v1에서 스티커를 사용해야 합니다.10.6은 GNU "패치"에 적용됩니다.[#1954](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1954)
>
>
>
> ## 1.10.6/2019-12-03
>
>###벌레
>
>*[MRI]에서 공급업체libxml2의 FreeBSD 설치를 수정했습니다.[#1941, [#1953](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1953)] (감사합니다. [@간호사https://github.com/nurse)!)
>
>
>
> ## 1.10.5/2019-10-31
>
>####의존 관계
>
>*[MRI] 공급업체의libxml2가 2.9.9에서 2.9.10으로 업데이트
>*[MRI] 공급업체의 libxslt가 1.13에서 1.1.34로 업데이트
>
>
>
> ## 1.10.4/2019-08-11
>
>####안전
>
>####주소 CVE-2019-5477([#1915])https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915))
>
> Nokogiri v1에 명령 주입 빈틈이 있습니다.10.3 이전 버전에서는 하위 프로세스에서 Ruby의 커널이 명령을 수행할 수 있도록 허용했습니다.개방식 방법.기록되지 않은 방법인'Nokogiri::CSS:::Tokenizer#load file'이 신뢰할 수 없는 사용자에게 입력될 때만 프로세스가 공격을 받기 쉽다.
>
> 이 취약점은 Rexical gem v1 버전에서 생성된 코드에 나타납니다.0.6 및 그 이전.Nokogiri는 Rexical을 사용하여 CSS 질의를 분석하는 데 사용되는 구문 검색 프로그램 코드를 생성합니다.Rexical v1은 잠재적인 취약점을 해결합니다.0.7 및 Nokogiri는 Nokogiri v1에서 이 버전의 Rexical로 업그레이드되었습니다.10.4.
>
>CVE의 공지는 [sparkMootion/nokogiri#1915](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915)
>
>
> ## 1.10.3/2019-04-22
>
>####안전 주의사항
>
>...(자르기)
변경 로그
* [nokogiri의 변경 기록](https://github.com/sparklemotion/nokogiri/blob/master/CHANGELOG.md).*
> ## 1.10.8/2020-02-10
>
>####안전
>
>[MRI] CVE-2020-7595를 해결하는libxml에서 상위 패치를 도입했습니다.자세한 내용은 [1992](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1992). 이 패치는 (2020-02-10 기준)libxml의 업스트림 버전에서 릴리즈되지 않았습니다.
>
>
> ## 1.10.7/2019-12-03
>
>### 고정
>
>*[MRI] v1에서 스티커를 사용해야 합니다.10.6은 GNU "패치"에 적용됩니다.[[#1954](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1954)]
>
>
> ## 1.10.6/2019-12-03
>
>### 고정
>
>*[MRI]에서 공급업체libxml2의 FreeBSD 설치를 수정했습니다.[[#1941](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1941), [#1953](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1953)] (감사합니다. [@간호사https://github.com/nurse)!)
>
>
> ## 1.10.5/2019-10-31
>
>####안전
>
>[MRI] 공급업체의 libxslt가 v1로 업그레이드되었습니다.1.34는 libxslt의 세 가지 CVE를 해결합니다.
>
>*CVE-2019-13117
>*CVE-2019-13118
>*CVE-2019-18197
>*CVE-2019-19956
>
> 자세한 내용은 [#1943](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1943).
>
>
>####의존 관계
>
>*[MRI] 공급업체의libxml2가 2.9.9에서 2.9.10으로 업데이트
>*[MRI] 공급업체의 libxslt가 1.13에서 1.1.34로 업데이트
>
>
> ## 1.10.4/2019-08-11
>
>####안전
>
> 주소: CVE-2019-5477(1915)(https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915)).
>
> Nokogiri v1에 명령 주입 빈틈이 있습니다.10.3 이전 버전에서는 하위 프로세스에서 Ruby의 커널이 명령을 수행할 수 있도록 허용했습니다.개방식 방법.기록되지 않은 방법인'Nokogiri::CSS:::Tokenizer#load file'이 신뢰할 수 없는 사용자에게 입력될 때만 프로세스가 공격을 받기 쉽다.
>
> 이 취약점은 Rexical gem v1 버전에서 생성된 코드에 나타납니다.0.6 및 그 이전.Nokogiri는 Rexical을 사용하여 CSS 질의를 분석하는 데 사용되는 구문 검색 프로그램 코드를 생성합니다.Rexical v1은 잠재적인 취약점을 해결합니다.0.7 및 Nokogiri는 Nokogiri v1에서 이 버전의 Rexical로 업그레이드되었습니다.10.4.
>...(자르기)
언약
-[6ce10d1`](https://github.com/sparklemotion/nokogiri/commit/6ce10d15d7af6ad65813a495eaf168f73eba211c) 버전이 v1로 업그레이드되었습니다.10.8
-[2320f5b`](https://github.com/sparklemotion/nokogiri/commit/2320f5bd6319dca9c68d85bbf41629bbf8052a49) v1의 변경 로그를 업데이트합니다.10.8
-[`4a77fdb`](https://github.com/sparklemotion/nokogiri/commit/4a77fdb789aefed7ca65c7c7f57ad4dca0d3b209) 호미 목록에서 패치 제거
-[`570b6cb`](https://github.com/sparklemotion/nokogiri/commit/570b6cbc5fbc5ee7ef969332c587b951ae35bcd0) 라크 컴파일러를 사용하여 ~1.1.0 업데이트
-[`2cdb68e`](https://github.com/sparklemotion/nokogiri/commit/2cdb68e95aa075ac36a08d4d82d9b410a950a051) CVE-2020-7595 후면 포트 libxml2 패치
-[`e6b3229`](https://github.com/sparklemotion/nokogiri/commit/e6b3229ec53ddf70f1d198bba0d3fc13fde842a8) 버전이 v1로 업그레이드되었습니다.10.7
-[`4f9d443`](https://github.com/sparklemotion/nokogiri/commit/4f9d443c2fddc40eefec3366000861433aff6179) 변경 로그 업데이트
-[80e67ef`](https://github.com/sparklemotion/nokogiri/commit/80e67ef636ce0ddd55a4a7578d7bbdb186002560) [#1953]의 패치 수정(https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1953) git 및 patch 사용
-[`7cf1b85`](https://github.com/sparklemotion/nokogiri/commit/7cf1b85a5f8033252e55844ab2765e8f612d4d89) 생성된 메타데이터의 입력 오류 수정
-[`d76180d`](https://github.com/sparklemotion/nokogiri/commit/d76180d0d26a7afb76d84e0de2550ac3bb6abb15) gem 메타데이터 추가
- [비교 뷰]에서 볼 수 있는 추가 커밋(https://github.com/sparklemotion/nokogiri/compare/v1.8.2...v1.10.8)
이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석
@dependabot rebase
을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@corderiot use this assignees"는 현재 소유자를 재구매 프로토콜과 언어의 미래 PRs에 대한 기본값으로 설정합니다.
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
[보안 경고 페이지]에서 재구매 계약의 자동 보안 수정 PRs를 비활성화할 수 있습니다(https://github.com/sudara/deepjargon/network/alerts).
토론 #1
는 #26으로 대체됩니다.Reference
이 문제에 관하여(노코지리를 1.8.2에서 1.10.8로 늘리다), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://github.com/sudara/deepjargon/issues/5텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)