Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3245-1 ruby1.8

Debians sikkerhedsbulletin

DSA-3245-1 ruby1.8 -- sikkerhedsopdatering

Rapporteret den:

2. maj 2015

Berørte pakker:

ruby1.8

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-1855.

Yderligere oplysninger:

Man opdagede at Rubys OpenSSL-udvidelse, som er en del af fortolkeren af sproget Ruby, ikke på korrekt vis implementerede hostnamematching, hvilket er en overtrædelse af RFC 6125. Dermed kunne fjernangribere få mulighed for at udføre et manden i midten-angreb gennem fabrikerede SSL-certifikater.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.8.7.358-7.1+deb7u3.

Vi anbefaler at du opgraderer dine ruby1.8-pakker.