Debians sikkerhedsbulletin

DSA-3247-1 ruby2.1 -- sikkerhedsopdatering

Rapporteret den:
2. maj 2015
Berørte pakker:
ruby2.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-1855.
Yderligere oplysninger:

Man opdagede at Rubys OpenSSL-udvidelse, som er en del af fortolkeren af sproget Ruby, ikke på korrekt vis implementerede hostnamematching, hvilket er en overtrædelse af RFC 6125. Dermed kunne fjernangribere få mulighed for at udføre et manden i midten-angreb gennem fabrikerede SSL-certifikater.

I den stabile distribution (jessie), er dette problem rettet i version 2.1.5-2+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 2.1.5-3.

I den ustabile distribution (sid), er dette problem rettet i version 2.1.5-3.

Vi anbefaler at du opgraderer dine ruby2.1-pakker.