Ruby / RoR

Syndicate content
Aktuelle Meldungen zum Thema Ruby und Ruby on Rails (RoR).
Updated: 11 hours 54 min ago

CVE-2015-1855: Hostname-Überprüfung in Ruby-OpenSSL

Mo, 2015-04-13 12:00

Rubys OpenSSL-Erweiterung leidet unter einer Sicherheitslücke, die in einer zu laxen Überprüfung der Anforderungen an die Struktur von Hostnames besteht und welche zu Bugs ähnlich denen in CVE-2014-1492 führen kann. Ähnliche Probleme wurden in Python gefunden.

Der Sicherheitslücke wurde die CVE-Nummer CVE-2015-1855 zugewiesen.

Wir empfehlen Ihnen dringend Ruby zu aktualisieren.

Details

Nachdem wir RFC 6125 und RFC 5280 durchgesehen haben, sind uns mehrere Verletzungen der Überprüfung von Hostnames aufgefallen, insbesondere bei Wildcard-Zertifikaten.

Rubys OpenSSL-Erweiterung bietet nun einen string-basierten Algorithmus, welcher sogar einem strikteren Verhalten folgt als die beiden RFCs empfehlen. So ist es nun nicht mehr erlaubt, mehrere Platzhalter innerhalb eines Subject/SAN zu expandieren. Außerdem werden diese Werte nun ohne Rücksicht auf Groß- und Kleinschreibung verglichen.

Diese Veränderung hat Auswirkungen auf das Verhalten von Rubys OpenSSL::SSL#verify_certificate_identity.

Dabei sind besonders zu nennen:

  • Nur ein Platzhalterzeichen ist im äußeren linken Teil des Hostname erlaubt.
  • IDNA-Namen können nur noch mit einen einfachen Platzhalter realisiert werden (z.B. ‘*.domain’).
  • Subject/SAN sollten auf ASCII-Zeichen begrenzt sein.

Alle Nutzer, die eine betroffene Veröffentlichung verwenden, sollten umgehend aktualisieren.

Betroffene Versionen
  • Alle 2.0er Versionen von Ruby vor Ruby 2.0.0 patchlevel 645
  • Alle 2.1er Versionen von Ruby vor Ruby 2.1.6
  • Alle 2.2er Versionen von Ruby vor Ruby 2.2.2
  • Trunk vor Revision 50292
Danksagung

Dank an Tony Arcieri, Jeffrey Walton und Steffan Ullrich, welche dieses Problem gemeldet haben. Ursprüngliche Meldung ist Bug #9644 und Patches wurden durch Tony Arcieri und Hiroshi Nakamura eingereicht.

Historie
  • Ursprünglich veröffentlicht am 2015-04-13 12:00:00 (UTC)

Geschrieben von zzak am 13.4.2015
Übersetzt von Marvin Gülker

Ruby 2.2.2 veröffentlicht

Mo, 2015-04-13 12:00

Wir freuen uns, die Veröffentlichung von Ruby 2.2.2 ankündigen zu können. Hierbei handelt es sich um eine TEENY-Veröffentlichung der stabilen 2.2er-Serie.

Diese Veröffentlichung behebt eine Sicherheitslücke in der OpenSSL-Erweiterung im Bezug auf die Verifikation von Hostnames.

Weiterhin hat es einige Fehlerkorrekturen gegeben, siehe das ChangeLog für Details.

Download
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2

    SIZE: 13314437 bytes SHA1: de97ec6132ac76bb7c0f92b5ca4682138093af1b SHA256: f3b8ffa6089820ee5bdc289567d365e5748d4170e8aa246d2ea6576f24796535 SHA512: d6693251296e9c6e8452786ce6b0447c8730aff7f92d0a92733444dbf298a1e7504b7bd29bb6ee4f2155ef94ccb63148311c3ed7ac3403b60120a3ab5c70a162
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz

    SIZE: 16613636 bytes SHA1: 29c51a17639d921b1ae51cd80a9d7584f67d5e1c SHA256: 5ffc0f317e429e6b29d4a98ac521c3ce65481bfd22a8cf845fa02a7b113d9b44 SHA512: 0603f962980e14d206f8f1b3d5bb1b19d65f369bde71a686f3b4cef1d1dd09ef39afac3170947324f29a4ac17b99f9d406e5ca33b4950ece2e5baca0a42c791c
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz

    SIZE: 10463044 bytes SHA1: 58cfec8db9b51ad1ff3bd2b9065da087913a6268 SHA256: f033b5d08ab57083e48c1d81bcd7399967578c370b664da90e12a32891424462 SHA512: bd72d0a4c017e2527659f64ef2781bbe8bd540a2302eaa60234a12282fd53c359e04205c56385402c67e81bb9dab3b88de53de82e12bb13e3386c26301043b64
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip

    SIZE: 18448642 bytes SHA1: 7d26835cb7711dfe75f2c10fe38cb85f5ed56df5 SHA256: dd96db09348034b21889df1b561c7482ee553558486707503c83908eddb3c768 SHA512: 7487032e9108ea4b35f909e26c7202994524090b3c237713b8b406917cf65543ec7372d260dcacd5c9b269bb7645e1703b3a64ca3cc2efc8b2135c1d06729246
Veröffentlichungskommentar

Viele Commiters, Entwickler und Nutzer, die uns Fehlermeldungen sanddten, halfen uns dabei, diese Veröffentlichung durchzuführen. Wir danken ihnen für ihre Mitarbeit.

Geschrieben von nagachika am 13.4.2015
Übersetzt von Marvin Gülker

Ruby 2.1.6 veröffentlicht

Mo, 2015-04-13 12:00

Ruby 2.1.6 ist veröffentlicht worden.

Diese Veröffentlichung behebt eine Sicherheitslücke in der OpenSSL-Erweiterung. Bitte schauen Sie sich für weitere Informationen die Thematik unten an.

Außerdem wurden viele Fehler behoben; siehe die Tickets und das ChangeLog für weitere Informationen.

Download
  • http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2

    SIZE: 12011651 bytes SHA1: 380c3a5fa508fdaa2b227dbc00c56f703fd271d4 SHA256: 7b5233be35a4a7fbd64923e42efb70b7bebd455d9d6f9d4001b3b3a6e0aa6ce9 SHA512: 75d58120b5f387bcadbf6d19e85624f78c74f81b9018baef39207214673f7ebc0700ab31145acd88b4071c896ba8e1302a29c90955bcf5f8c863634125022aa6
  • http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz

    SIZE: 15141710 bytes SHA1: 426289b6647ce35ad101091825b6e7e5fce207f3 SHA256: 1e1362ae7427c91fa53dc9c05aee4ee200e2d7d8970a891c5bd76bee28d28be4 SHA512: 6563d8f39623ed5ba227725c54e630886412938bdf7c4cf03337d6c245af58d92274a098ea0e03bfd0e94970f4ee82909c366ae81db4b9317c10b92167bfc46d
  • http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz

    SIZE: 9381724 bytes SHA1: e429644f27c243474268bf548e6fa95d05579aaf SHA256: 137b27bffefd795fd97c288fff539d135f42320f8a1afddde99a34e1fbe7314e SHA512: 0cf91fe7ae53a3f9c034fa5996eeed91889b942b8e595e84be4e244adc30d79aa3f540cc6f657982715069dfb14af20786557689d9a8fe4bbfc66280e84dd6cf
  • http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip

    SIZE: 16671680 bytes SHA1: e79a033ab847e0d67940e31bac0debf197fad615 SHA256: ecbc4b97cc78e96e01375b961936133279db806044fd4d23771136dae4c1056d SHA512: d1450bd013dbaabf10d7097e9dcd8c3f027110c08693ee7c94c002ea96b7e6e171c951b8b1ca3971b7f89e05b15df00ec56a006f9393889ae7f8045e9b328fad
Veröffentlichungskommentar

Danke an alle, die bei dieser Veröffentlichung mitgeholfen haben, insbesondere nagachika.

Die Unterstützung von Ruby 2.1, diese Veröffentlichung eingeschlossen, wird bestimmt durch die „Vereinbarung über die stabile Version von Ruby“ der Ruby Association.

Geschrieben von usa am 13.4.2015
Übersetzt von Marvin Gülker

Ruby 2.0.0-p645 veröffentlicht

Mo, 2015-04-13 12:00

Wir freuen uns, die Veröffentlichung von Ruby 2.0.0-p645 ankündigen zu können.

Diese Veröffentlichung behebt eine Sicherheitslücke in der OpenSSL-Erweiterung. Bitte schauen Sie sich für weitere Informationen die Thematik unten an.

Ruby 2.0.0 befindet sich nurmehr bis zum 24. Februar 2016 in der Phase der Sicherheitsaktualisierungen. Nach diesem Datum wird die Unterstützung von Ruby 2.0.0 eingestellt. Wir empfehlen Ihnen, dass Sie sich auf eine Migration auf neuere Versionen von Ruby, wie 2.1 oder 2.2, vorbereiten.

Diese Veröffentlichung enthält neben dem erwähnten Sicherheitsfix weitere kleinere Änderungen, welche für die Testumgebung erforderlich waren (dies sollte normale Nutzer nicht betreffen).

Siehe das ChangeLog für alle Details.

Download
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2

    SIZE: 10786492 bytes SHA1: e724dd0e4a1e820a368be307aa0863a8ecf4b694 SHA256: 2dcdcf9900cb923a16d3662d067bc8c801997ac3e4a774775e387e883b3683e9 SHA512: e9ca186b1cf0877cdbecd43dcab2c5161a53103e926609d5e1b769a4980eab4571bfd0951788b4fc92dfd9d10175b0f5f36ea2c7289e575a9db9b62c02f93185
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz

    SIZE: 13620967 bytes SHA1: 4f922cda8d8f745f7b80cef8f79a0b51c252bbf5 SHA256: 5e9f8effffe97cba5ef0015feec6e1e5f3bacf6ace78cd1cdf72708cd71cf4ab SHA512: 4503e9d52d2f740ed00437f645cd532044a684b523b8044c0ba4e1b4e69649d2274d5b94fc8273acbbc19d3bb3f15375b93de5140d39f973f2fbb746500633b8
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz

    SIZE: 8295192 bytes SHA1: eee2d0d06de5b22d7542c605b4f2db24b0cb26bc SHA256: 875be4f57bdbb2d2be0d64bfd8fc5022f004d55261ead8fd0cdc2e9e415e9f7b SHA512: 440f8ea50f51c53f90e42a8dfd7cd41f806b290d5c12c09f84d9159ab9c95e19b036cd8a5dc788844da501b9fcd1fa8ad8352ef7417998debc1b43a61a4ea4dc
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip

    SIZE: 15139168 bytes SHA1: 384cc548291e91d0b9d7297bbc9aed46b88f254a SHA256: 2ad4eaabfd92d627baffc6c971e4b8987b38c06baf42dc2fc2e05131095499e7 SHA512: 271373873570a0b47124cbc0232fff6be353264a0891dd04800c1c9f79b1297f66e0d4e817f474432b20cbf055c8f421548a11a6ec19b68dad16cc78f1ba9876
Veröffentlichungskommentar

Vielen Dank an alle, die bei dieser Veröffentlichung mitgeholfen haben, insbesondere zzak.

Geschrieben von usa am 13.4.2015
Übersetzt von Marvin Gülker

Google Summer of Code 2015

Fr, 2015-03-06 10:48

Ruby wird am Google Summer of Code 2015 als Top-Level-Organisation teilnehmen. Wir werden als Schirmherr für Ruby thematisierende Projekte wie Ruby selbst, JRuby, Celluloid und weitere fungieren; Bewerbungen können Studenten ab dem 16. März bis zum 27. März einreichen (hier geht es zum Zeitplan).

Wenn Sie Interesse daran haben, als Student oder als Mentor teilzunehmen, schreiben Sie sich bitte auf unserer Mailingliste ein. Eine Liste der Projektideen können Sie im Ruby-GSoC-Wiki finden.

RubyOnRails und SciRuby nehmen dieses Jahr neben uns ebenfalls als Top-Level-Organisationen teil. Wenn Sie eine Idee haben, die besser in deren Projekte passen würde, sollten Sie deren respektive Ankündigung lesen.

Geschrieben von Federico Builes am 6.3.2015
Übersetzt von Marvin Gülker

Ruby 2.2.1 veröffentlicht

Di, 2015-03-03 03:00

Wir freuen uns, die Veröffentlichung von Ruby 2.2.1 ankündigen zu können. Es handelt sich dabei um das erste TEENY-Release der stabilen 2.2er-Serie.

Diese Veröffentlichung enthält einen Fix für ein Kompilationsproblem mit ffi und einen weiteren für ein Speicherleck im Symbol-GC (siehe Bug #10686).

Siehe das ChangeLog für weitere Details.

Download
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.1.tar.bz2

    SIZE: 13326768 bytes MD5: 06973777736d8e6bdad8dcaa469a9da3 SHA256: 4e5676073246b7ade207be3e80a930567a88100513591a0f19fc38e247370065 SHA512: af6a8e75a66b953ff33ecbca5111bcf1c6560b6b48b370b700820fcbe91363146c5ac8abd670a14e693b44343ae598bab472ed2902834304c03ffcd9550886d1
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.1.tar.gz

    SIZE: 16512208 bytes MD5: b49fc67a834e4f77249eb73eecffb1c9 SHA256: 5a4de38068eca8919cb087d338c0c2e3d72c9382c804fb27ab746e6c7819ab28 SHA512: 97b92251c612e40ad84c3ce612b0f410010ed72f564a4223af1c8df3f7c9d7b7acea9d75423f033752902e4829272c5c94496eae7f504d2be7442e44519b8e93
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.1.tar.xz

    SIZE: 10320352 bytes MD5: f7570579539faaa734c02e2857370298 SHA256: 3b2852c07fdc12d0ba2b5698c7587ae2b46141539a526d143da5860b55a626c0 SHA512: 853517426cd4735bab42298a13cef6f4864b6f8787c3985eaa39a4d1efb40e121bdb51e874b567f0ec339fe001920bcd165067633992b2be30e7804191559151
  • http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.1.zip

    SIZE: 18457205 bytes MD5: fc0a654425419e9397a1a6858a76325d SHA256: 73af1b1a9d5ceebfc129f270652fe81d9f760082c9fb3206a81bb7162b2a4087 SHA512: 7150f0b6c6d27e6053ac88309903adf42fce537b8228740b97929712689c5623757aeb8a76dab1126cb70970c860fedb55a28c4660d818845921c0c74f8563f8
Veröffentlichungskommentar

Viele Committers, Entwickler und Nutzer, die uns Fehlermeldungen zusandten, halfen uns, diese Veröffentlichung durchzuführen. Danke für ihre Mitarbeit.

Geschrieben von hsbt am 3.3.2015
Übersetzt von Marvin Gülker

Ruby 2.0.0-p643 veröffentlicht

Mi, 2015-02-25 12:00

Wir freuen uns, die Veröffentlichung von Ruby 2.0.0-p643 bekannt geben zu können.

Hierbei handelt es sich um die letzte ordentliche Veröffentlichung von Ruby 2.0.0, welches nunmehr in die Phase der Sicherheitsunterstützung übergeht. Es werden daher keine neuen Versionen von Ruby 2.0.0 mehr veröffentlicht, sofern nicht kritische Regressions oder Sicherheitslücken gefunden werden. Die Dauer dieser letzten Pase ist auf 1 Jahr angesetzt. Danach wird die Unterstützung von Ruby 2.0.0 am 25. Februar 2016 enden. Wir empfehlen daher, mit den Planungen für eine Migration auf neuere Ruby-Versionen wie 2.1 oder 2.2 zu beginnen.

Diese Veröffentlichung enthält viele Fehlerkorrekturen. Siehe die Tickets und das ChangeLog für weitere Informationen.

Download
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.bz2

    SIZE: 10772113 bytes SHA1: d1d7d324a1f2530d67d54464fe09646583e4dda1 SHA256: 1f626f20647693a215a8db3ea0d6ab5ab9cee7c1945cc441b9f8f7b9612b91a0 SHA512: 453117152e6facdcd5bedaa9c3b1e349382bc5bc1dd3d650ec58b398cb9d2519a2822d05da10bcc5dbbb4f513fc5fef310caa3529d176fa2d453befb28e4d83a
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.gz

    SIZE: 13625546 bytes SHA1: 544840583939175886a0885bce1cf07f0b9550b7 SHA256: 4bd267a4187e4bc25c1db08f9f9bdc0ce595a705569cac460d98c4f5b02e614e SHA512: cfb88bb4d312861c7c5305593b251648df336f3bf4a4e3f2acc3d66c1a93dc989cf5b60ce9158418ef3fbe4b2e41e7bc86e08942a6624441cfe1297325166b32
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.xz

    SIZE: 8318532 bytes SHA1: 11568586a6361200efbff33892aaee345625f1f0 SHA256: 73f6d939beda8865e12069689ddabd2658b3f637a9adebeee5e374388715c432 SHA512: edcff2154eec9c8a84d4c5eac8ffb370e273a5e949923009756cbc069a7ef52de5c91981bd726ae5043bc2784d8ff5080444bc29d0693abc08ff66a8783a7cbc
  • http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.zip

    SIZE: 15136932 bytes SHA1: 41bd52d9bc1dabc5fa3209c0a04a0b26b8206ef8 SHA256: 0f0ac0b075c924cfdd0e95e66560d99d9de36256af6fe51d375efe9dd0a0b996 SHA512: 2c5780972bd27f5160c1f7524b3bc221dc8fba857863e53216fc3511df0415003ed1d4bc8c49533a34eedab0de72a261e5d4f2cecc251c64be843194ce3efbb6
Veröffentlichungskommentar

Danke an alle, die bei dieser und den vorherigen Veröffentlichungen mitgeholfen haben.

Geschrieben von usa am 25.2.2015
Übersetzt von Marvin Gülker

Unterstützung für Ruby 1.9.3 ausgelaufen

Mo, 2015-02-23 00:00

Am heutigen Tage ist jegliche Unterstützung für Ruby 1.9.3 ausgelaufen. Es werden keine Fehlerkorrekturen und Sicherheitsfixes mehr von aktuelleren Ruby-Versionen nach 1.9.3 übernommen.

Dieses Unterstützungsende ist bereits vor über einem Jahr angekündigt worden.

Wir empfehlen Ihnen dringend, so schnell wie möglich eine Aktualisierung auf Ruby 2.0.0 oder höher vorzunehmen. Kontaktieren Sie uns, wenn Sie den 1.9.3-Zweig weiterhin pflegen wollen oder es Gründe gibt, die Ihnen die Aktualisierung unmöglich machen.

Geschrieben von Olivier Lacan am 23.2.2015
Übersetzt von Quintus