[안전] 노코지리를 1.10.4에서 1.10.6으로 늘리다
5959 단어 scoutges-old
묘사
1.10.4에서 1.10.6까지의 충돌nokogiri.이 업데이트에는 보안 복구 프로그램이 포함되어 있습니다.취약점 복구
* [루비 컨설팅 데이터베이스](https://github.com/rubysec/ruby-advisory-db/blob/master/gems/nokogiri/CVE-2019-13117.yml).*
>**Nokogirigemlibxslt를 통해 여러 구멍의 영향을 받음**
>Nokogiri v1.10.5가 발표되었습니다.
>
> 보안 버전입니다.이것은 상류libxml2의 세 개의 CVE를 해결하고,
> 자세한 내용은 다음과 같습니다.
>
> Nokogiri의 시스템 라이브러리가 아닌 릴리스 시스템 라이브러리를 사용하는 경우
> 공급업체 도서관 - 보안을 업그레이드할 필요가 없습니다.
> 발매판과 이걸 고쳤는지 확인하고 싶겠지만
> (Ubuntu 패키지는 Canonical에서 수정됨)libxslt 1.1.34
> 이러한 취약점
>
> 보안 업데이트에 대한 자세한 내용은 Github 릴리스 참조
> [#1943] https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1943.
>
> ---
>
>CVE-2019-13117
>
> https://people.canonical.com/~ubuntu security/cve/2019/cve-2019-13117.html
>
> ... (자르기)
>
> 패치 버전: >=1.10.5
> 영향 받지 않는 버전: 없음
릴리즈 노트
* [nokogiri 버전](https://github.com/sparklemotion/nokogiri/releases).*
> ## 1.10.6/2019-12-03
>
>###벌레
>
>*[MRI]에서 공급업체libxml2의 FreeBSD 설치를 수정했습니다.[#1941년, [#1953년](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1953)] (감사합니다. [@간호사https://github.com/nurse)!)
>
>
>
> ## 1.10.5/2019-10-31
>
>####의존 관계
>
>*[MRI] 공급업체의libxml2가 2.9.9에서 2.9.10으로 업데이트
>*[MRI] 공급업체의 libxslt가 1.13에서 1.1.34로 업데이트
>
>
변경 로그
* [nokogiri의 변경 기록](https://github.com/sparklemotion/nokogiri/blob/master/CHANGELOG.md).*
> ## 1.10.6/2019-12-03
>
>###벌레
>
>*[MRI]에서 공급업체libxml2의 FreeBSD 설치를 수정했습니다.[19411953] (감사합니다.간호사https://github.com/nurse)!)
>
>
> ## 1.10.5/2019-10-31
>
>####안전
>
>[MRI] 공급업체의 libxslt가 v1로 업그레이드되었습니다.1.34는 libxslt의 세 가지 CVE를 해결합니다.
>
>*CVE-2019-13117
>*CVE-2019-13118
>*CVE-2019-18197
>
> 자세한 내용은 [#1943](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1943).
>
>
>####의존 관계
>
>*[MRI] 공급업체의libxml2가 2.9.9에서 2.9.10으로 업데이트
>*[MRI] 공급업체의 libxslt가 1.13에서 1.1.34로 업데이트
언약
-[`13132fc`](https://github.com/sparklemotion/nokogiri/commit/13132fcf9046acdc6cfac30e9da20d2724cb8a00) 버전이 v1로 업그레이드되었습니다.10.6
-[95e56fd`](https://github.com/sparklemotion/nokogiri/commit/95e56fd26c5d1867136800e50afc348d2c26790e) 변경 로그 업데이트
-[`73c53ee`](https://github.com/sparklemotion/nokogiri/commit/73c53eee6cec953405135d6ddab5734706969288) libxml2를 수정하는 패치를 추가합니다.로스앤젤레스 길
-[`061d75d`](https://github.com/sparklemotion/nokogiri/commit/061d75dfd462040bd075370e0b59dbc990873ecb) 변경 로그에 보안 주석 추가
-[`1bc2ff9`](https://github.com/sparklemotion/nokogiri/commit/1bc2ff9f6218e1f814b18040e5bbb49b7b7bf60b) 버전이 v1로 업그레이드되었습니다.10.5
-[`383c1f8`](https://github.com/sparklemotion/nokogiri/commit/383c1f8ee833cb63ca93fe3ecfe8d93755a993b6) 변경 로그 업데이트
-[`43a1753`](https://github.com/sparklemotion/nokogiri/commit/43a175339b47b8c604508813fc75b83f13cd173e) 종속성:libxslt를 1.1.34 final로 업데이트
-[`99d8a6b`](https://github.com/sparklemotion/nokogiri/commit/99d8a6b6ec83077652a06a333571e4705120f022) 의존 항목:libxml을 2.9.10 final로 업데이트
-[2a86496`](https://github.com/sparklemotion/nokogiri/commit/2a86496ca565aa283c4fd9cd247d21c6026d7b61) 루비 2.7에 억제 추가
-[`dca794a`](https://github.com/sparklemotion/nokogiri/commit/dca794a716fb285e2b19f8e028e61e4e3613ed14) v1의 정확한 게시 날짜를 사용하여 변경 로그를 업데이트합니다.10.4
- [비교 뷰]에서 볼 수 있는 추가 커밋(https://github.com/sparklemotion/nokogiri/compare/v1.10.4...v1.10.6)
이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석
@dependabot rebase
을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@corderiot use this assignees"는 현재 소유자를 재구매 프로토콜과 언어의 미래 PRs에 대한 기본값으로 설정합니다.
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
- "@Relateot badge me"는 자술한 파일에 "Relateot enabled"배지를 추가할 수 있도록 코드로 이 홍보에 대해 설명합니다.
또한 Correlot[대시보드]에서 다음을 설정할 수도 있습니다(https://app.dependabot.com):
- 업데이트 빈도(하루 중 시간과 일주일 중 날짜 포함)
- 끌어오기 요청 제한(업데이트가 실행될 때마다/또는 언제든지 열려 있음)
- 범위 밖의 업데이트(필요한 경우 잠금 파일 업데이트만 수신)
- 보안 업데이트(필요한 경우 보안 업데이트만 수신)
토론 #1
가 #37로 대체되었습니다.Reference
이 문제에 관하여([안전] 노코지리를 1.10.4에서 1.10.6으로 늘리다), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://github.com/francois/scoutges-old/issues/36텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)