Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3245-1 ruby1.8

Säkerhetsbulletin från Debian

DSA-3245-1 ruby1.8 -- säkerhetsuppdatering

Rapporterat den:

2015-05-02

Berörda paket:

ruby1.8

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-1855.

Ytterligare information:

Man har upptäckt att Rubytillägget OpenSSL, en del av tolken av språket Ruby, inte implementerar värdnamnsmatchning ordentligt, vilket bryter mot RFC 6125. Detta kunde tillåta fjärrangripare att utföra ett man-in-the-middle-angrepp via skapade SSL-certifikat.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.8.7.358-7.1+deb7u3.

Vi rekommenderar att ni uppgraderar era ruby1.8-paket.