Ruby / RoR

Syndicate content
Aktuelle Meldungen zum Thema Ruby und Ruby on Rails (RoR).
Updated: 1 Stunde 57 min ago

CVE-2015-1855: Hostname-Überprüfung in Ruby-OpenSSL

Mo, 2015-04-13 12:00

Rubys OpenSSL-Erweiterung leidet unter einer Sicherheitslücke, die in einer zu laxen Überprüfung der Anforderungen an die Struktur von Hostnames besteht und welche zu Bugs ähnlich denen in CVE-2014-1492 führen kann. Ähnliche Probleme wurden in Python gefunden.

Der Sicherheitslücke wurde die CVE-Nummer CVE-2015-1855 zugewiesen.

Wir empfehlen Ihnen dringend Ruby zu aktualisieren.

Details

Nachdem wir RFC 6125 und RFC 5280 durchgesehen haben, sind uns mehrere Verletzungen der Überprüfung von Hostnames aufgefallen, insbesondere bei Wildcard-Zertifikaten.

Rubys OpenSSL-Erweiterung bietet nun einen string-basierten Algorithmus, welcher sogar einem strikteren Verhalten folgt als die beiden RFCs empfehlen. So ist es nun nicht mehr erlaubt, mehrere Platzhalter innerhalb eines Subject/SAN zu expandieren. Außerdem werden diese Werte nun ohne Rücksicht auf Groß- und Kleinschreibung verglichen.

Diese Veränderung hat Auswirkungen auf das Verhalten von Rubys OpenSSL::SSL#verify_certificate_identity.

Dabei sind besonders zu nennen:

  • Nur ein Platzhalterzeichen ist im äußeren linken Teil des Hostname erlaubt.
  • IDNA-Namen können nur noch mit einen einfachen Platzhalter realisiert werden (z.B. ‘*.domain’).
  • Subject/SAN sollten auf ASCII-Zeichen begrenzt sein.

Alle Nutzer, die eine betroffene Veröffentlichung verwenden, sollten umgehend aktualisieren.

Betroffene Versionen
  • Alle 2.0er Versionen von Ruby vor Ruby 2.0.0 patchlevel 645
  • Alle 2.1er Versionen von Ruby vor Ruby 2.1.6
  • Alle 2.2er Versionen von Ruby vor Ruby 2.2.2
  • Trunk vor Revision 50292
Danksagung

Dank an Tony Arcieri, Jeffrey Walton und Steffan Ullrich, welche dieses Problem gemeldet haben. Ursprüngliche Meldung ist Bug #9644 und Patches wurden durch Tony Arcieri und Hiroshi Nakamura eingereicht.

Historie
  • Ursprünglich veröffentlicht am 2015-04-13 12:00:00 (UTC)

Geschrieben von zzak am 13.4.2015
Übersetzt von Marvin Gülker

Ruby 2.2.2 veröffentlicht

Mo, 2015-04-13 12:00

Wir freuen uns, die Veröffentlichung von Ruby 2.2.2 ankündigen zu können. Hierbei handelt es sich um eine TEENY-Veröffentlichung der stabilen 2.2er-Serie.

Diese Veröffentlichung behebt eine Sicherheitslücke in der OpenSSL-Erweiterung im Bezug auf die Verifikation von Hostnames.

Weiterhin hat es einige Fehlerkorrekturen gegeben, siehe das ChangeLog für Details.

Download
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2

    SIZE: 13314437 bytes SHA1: de97ec6132ac76bb7c0f92b5ca4682138093af1b SHA256: f3b8ffa6089820ee5bdc289567d365e5748d4170e8aa246d2ea6576f24796535 SHA512: d6693251296e9c6e8452786ce6b0447c8730aff7f92d0a92733444dbf298a1e7504b7bd29bb6ee4f2155ef94ccb63148311c3ed7ac3403b60120a3ab5c70a162
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz

    SIZE: 16613636 bytes SHA1: 29c51a17639d921b1ae51cd80a9d7584f67d5e1c SHA256: 5ffc0f317e429e6b29d4a98ac521c3ce65481bfd22a8cf845fa02a7b113d9b44 SHA512: 0603f962980e14d206f8f1b3d5bb1b19d65f369bde71a686f3b4cef1d1dd09ef39afac3170947324f29a4ac17b99f9d406e5ca33b4950ece2e5baca0a42c791c
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz

    SIZE: 10463044 bytes SHA1: 58cfec8db9b51ad1ff3bd2b9065da087913a6268 SHA256: f033b5d08ab57083e48c1d81bcd7399967578c370b664da90e12a32891424462 SHA512: bd72d0a4c017e2527659f64ef2781bbe8bd540a2302eaa60234a12282fd53c359e04205c56385402c67e81bb9dab3b88de53de82e12bb13e3386c26301043b64
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip

    SIZE: 18448642 bytes SHA1: 7d26835cb7711dfe75f2c10fe38cb85f5ed56df5 SHA256: dd96db09348034b21889df1b561c7482ee553558486707503c83908eddb3c768 SHA512: 7487032e9108ea4b35f909e26c7202994524090b3c237713b8b406917cf65543ec7372d260dcacd5c9b269bb7645e1703b3a64ca3cc2efc8b2135c1d06729246
Veröffentlichungskommentar

Viele Commiters, Entwickler und Nutzer, die uns Fehlermeldungen sanddten, halfen uns dabei, diese Veröffentlichung durchzuführen. Wir danken ihnen für ihre Mitarbeit.

Geschrieben von nagachika am 13.4.2015
Übersetzt von Marvin Gülker

Ruby 2.1.6 veröffentlicht

Mo, 2015-04-13 12:00

Ruby 2.1.6 ist veröffentlicht worden.

Diese Veröffentlichung behebt eine Sicherheitslücke in der OpenSSL-Erweiterung. Bitte schauen Sie sich für weitere Informationen die Thematik unten an.

Außerdem wurden viele Fehler behoben; siehe die Tickets und das ChangeLog für weitere Informationen.

Download
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2

    SIZE: 12011651 bytes SHA1: 380c3a5fa508fdaa2b227dbc00c56f703fd271d4 SHA256: 7b5233be35a4a7fbd64923e42efb70b7bebd455d9d6f9d4001b3b3a6e0aa6ce9 SHA512: 75d58120b5f387bcadbf6d19e85624f78c74f81b9018baef39207214673f7ebc0700ab31145acd88b4071c896ba8e1302a29c90955bcf5f8c863634125022aa6
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz

    SIZE: 15141710 bytes SHA1: 426289b6647ce35ad101091825b6e7e5fce207f3 SHA256: 1e1362ae7427c91fa53dc9c05aee4ee200e2d7d8970a891c5bd76bee28d28be4 SHA512: 6563d8f39623ed5ba227725c54e630886412938bdf7c4cf03337d6c245af58d92274a098ea0e03bfd0e94970f4ee82909c366ae81db4b9317c10b92167bfc46d
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz

    SIZE: 9381724 bytes SHA1: e429644f27c243474268bf548e6fa95d05579aaf SHA256: 137b27bffefd795fd97c288fff539d135f42320f8a1afddde99a34e1fbe7314e SHA512: 0cf91fe7ae53a3f9c034fa5996eeed91889b942b8e595e84be4e244adc30d79aa3f540cc6f657982715069dfb14af20786557689d9a8fe4bbfc66280e84dd6cf
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip

    SIZE: 16671680 bytes SHA1: e79a033ab847e0d67940e31bac0debf197fad615 SHA256: ecbc4b97cc78e96e01375b961936133279db806044fd4d23771136dae4c1056d SHA512: d1450bd013dbaabf10d7097e9dcd8c3f027110c08693ee7c94c002ea96b7e6e171c951b8b1ca3971b7f89e05b15df00ec56a006f9393889ae7f8045e9b328fad
Veröffentlichungskommentar

Danke an alle, die bei dieser Veröffentlichung mitgeholfen haben, insbesondere nagachika.

Die Unterstützung von Ruby 2.1, diese Veröffentlichung eingeschlossen, wird bestimmt durch die „Vereinbarung über die stabile Version von Ruby“ der Ruby Association.

Geschrieben von usa am 13.4.2015
Übersetzt von Marvin Gülker

Ruby 2.0.0-p645 veröffentlicht

Mo, 2015-04-13 12:00

Wir freuen uns, die Veröffentlichung von Ruby 2.0.0-p645 ankündigen zu können.

Diese Veröffentlichung behebt eine Sicherheitslücke in der OpenSSL-Erweiterung. Bitte schauen Sie sich für weitere Informationen die Thematik unten an.

Ruby 2.0.0 befindet sich nurmehr bis zum 24. Februar 2016 in der Phase der Sicherheitsaktualisierungen. Nach diesem Datum wird die Unterstützung von Ruby 2.0.0 eingestellt. Wir empfehlen Ihnen, dass Sie sich auf eine Migration auf neuere Versionen von Ruby, wie 2.1 oder 2.2, vorbereiten.

Diese Veröffentlichung enthält neben dem erwähnten Sicherheitsfix weitere kleinere Änderungen, welche für die Testumgebung erforderlich waren (dies sollte normale Nutzer nicht betreffen).

Siehe das ChangeLog für alle Details.

Download
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2

    SIZE: 10786492 bytes SHA1: e724dd0e4a1e820a368be307aa0863a8ecf4b694 SHA256: 2dcdcf9900cb923a16d3662d067bc8c801997ac3e4a774775e387e883b3683e9 SHA512: e9ca186b1cf0877cdbecd43dcab2c5161a53103e926609d5e1b769a4980eab4571bfd0951788b4fc92dfd9d10175b0f5f36ea2c7289e575a9db9b62c02f93185
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz

    SIZE: 13620967 bytes SHA1: 4f922cda8d8f745f7b80cef8f79a0b51c252bbf5 SHA256: 5e9f8effffe97cba5ef0015feec6e1e5f3bacf6ace78cd1cdf72708cd71cf4ab SHA512: 4503e9d52d2f740ed00437f645cd532044a684b523b8044c0ba4e1b4e69649d2274d5b94fc8273acbbc19d3bb3f15375b93de5140d39f973f2fbb746500633b8
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz

    SIZE: 8295192 bytes SHA1: eee2d0d06de5b22d7542c605b4f2db24b0cb26bc SHA256: 875be4f57bdbb2d2be0d64bfd8fc5022f004d55261ead8fd0cdc2e9e415e9f7b SHA512: 440f8ea50f51c53f90e42a8dfd7cd41f806b290d5c12c09f84d9159ab9c95e19b036cd8a5dc788844da501b9fcd1fa8ad8352ef7417998debc1b43a61a4ea4dc
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip

    SIZE: 15139168 bytes SHA1: 384cc548291e91d0b9d7297bbc9aed46b88f254a SHA256: 2ad4eaabfd92d627baffc6c971e4b8987b38c06baf42dc2fc2e05131095499e7 SHA512: 271373873570a0b47124cbc0232fff6be353264a0891dd04800c1c9f79b1297f66e0d4e817f474432b20cbf055c8f421548a11a6ec19b68dad16cc78f1ba9876
Veröffentlichungskommentar

Vielen Dank an alle, die bei dieser Veröffentlichung mitgeholfen haben, insbesondere zzak.

Geschrieben von usa am 13.4.2015
Übersetzt von Marvin Gülker