Säkerhetsbulletin från Debian

DSA-3247-1 ruby2.1 -- säkerhetsuppdatering

Rapporterat den:
2015-05-02
Berörda paket:
ruby2.1
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-1855.
Ytterligare information:

Man har upptäckt att Rubytillägget OpenSSL, en del av tolken av språket Ruby, inte implementerar värdnamnsmatchning ordentligt, vilket bryter mot RFC 6125. Detta kunde tillåta fjärrangripare att utföra ett man-in-the-middle-angrepp via skapade SSL-certifikat.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.1.5-2+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 2.1.5-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.1.5-3.

Vi rekommenderar att ni uppgraderar era ruby2.1-paket.