Ruby 2.0.0-p645 est disponible

Nous avons le plaisir d’annoncer la sorti de Ruby 2.0.0-p645.

Cette version inclut un correctif de sécurité d’une extension d’OpenSSL. Veuillez consulter le sujet suivant pour plus d’informations.

Ruby 2.0.0 est désormais en phase de maintenance de sécurité jusqu’au 24 février 2016. Après cette date, Ruby 2.0.0 ne sera plus maintenu. Nous vous recommandons dès à present de plannifier la migration vers des versions plus récentes telles que 2.1 ou 2.2.

Cette version inclut un correctif de sécurité mentionné ci-dessus ainsi que des changements mineurs pour l’environnement de test (qui ne doit pas affecter les utilisateurs standards).

Consultez le ChangeLog pour plus d’informations.

Téléchargements

  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2

    SIZE:   10786492 bytes
    SHA1:   e724dd0e4a1e820a368be307aa0863a8ecf4b694
    SHA256: 2dcdcf9900cb923a16d3662d067bc8c801997ac3e4a774775e387e883b3683e9
    SHA512: e9ca186b1cf0877cdbecd43dcab2c5161a53103e926609d5e1b769a4980eab4571bfd0951788b4fc92dfd9d10175b0f5f36ea2c7289e575a9db9b62c02f93185
    
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz

    SIZE:   13620967 bytes
    SHA1:   4f922cda8d8f745f7b80cef8f79a0b51c252bbf5
    SHA256: 5e9f8effffe97cba5ef0015feec6e1e5f3bacf6ace78cd1cdf72708cd71cf4ab
    SHA512: 4503e9d52d2f740ed00437f645cd532044a684b523b8044c0ba4e1b4e69649d2274d5b94fc8273acbbc19d3bb3f15375b93de5140d39f973f2fbb746500633b8
    
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz

    SIZE:   8295192 bytes
    SHA1:   eee2d0d06de5b22d7542c605b4f2db24b0cb26bc
    SHA256: 875be4f57bdbb2d2be0d64bfd8fc5022f004d55261ead8fd0cdc2e9e415e9f7b
    SHA512: 440f8ea50f51c53f90e42a8dfd7cd41f806b290d5c12c09f84d9159ab9c95e19b036cd8a5dc788844da501b9fcd1fa8ad8352ef7417998debc1b43a61a4ea4dc
    
  • https://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip

    SIZE:   15139168 bytes
    SHA1:   384cc548291e91d0b9d7297bbc9aed46b88f254a
    SHA256: 2ad4eaabfd92d627baffc6c971e4b8987b38c06baf42dc2fc2e05131095499e7
    SHA512: 271373873570a0b47124cbc0232fff6be353264a0891dd04800c1c9f79b1297f66e0d4e817f474432b20cbf055c8f421548a11a6ec19b68dad16cc78f1ba9876
    

Commentaires de version

Merci à tout ceux qui ont aidé à la préparation de cette version, notamment, zzak.

Posté par usa le 2015-04-13
Traduit par Geoffrey Roguelon

Ruby 2.1.6 est disponible

Ruby 2.1.6 est disponible.

Cette version inclut un correctif de sécurité d’une extension d’OpenSSL. Veuillez consulter le sujet suivant pour plus d’informations.

Et de nombreux correctifs de bug sont inclus. Consultez les tickets et ChangeLog pour plus de détails.

Téléchargements

  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2

    SIZE:   12011651 bytes
    SHA1:   380c3a5fa508fdaa2b227dbc00c56f703fd271d4
    SHA256: 7b5233be35a4a7fbd64923e42efb70b7bebd455d9d6f9d4001b3b3a6e0aa6ce9
    SHA512: 75d58120b5f387bcadbf6d19e85624f78c74f81b9018baef39207214673f7ebc0700ab31145acd88b4071c896ba8e1302a29c90955bcf5f8c863634125022aa6
    
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz

    SIZE:   15141710 bytes
    SHA1:   426289b6647ce35ad101091825b6e7e5fce207f3
    SHA256: 1e1362ae7427c91fa53dc9c05aee4ee200e2d7d8970a891c5bd76bee28d28be4
    SHA512: 6563d8f39623ed5ba227725c54e630886412938bdf7c4cf03337d6c245af58d92274a098ea0e03bfd0e94970f4ee82909c366ae81db4b9317c10b92167bfc46d
    
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz

    SIZE:   9381724 bytes
    SHA1:   e429644f27c243474268bf548e6fa95d05579aaf
    SHA256: 137b27bffefd795fd97c288fff539d135f42320f8a1afddde99a34e1fbe7314e
    SHA512: 0cf91fe7ae53a3f9c034fa5996eeed91889b942b8e595e84be4e244adc30d79aa3f540cc6f657982715069dfb14af20786557689d9a8fe4bbfc66280e84dd6cf
    
  • https://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip

    SIZE:   16671680 bytes
    SHA1:   e79a033ab847e0d67940e31bac0debf197fad615
    SHA256: ecbc4b97cc78e96e01375b961936133279db806044fd4d23771136dae4c1056d
    SHA512: d1450bd013dbaabf10d7097e9dcd8c3f027110c08693ee7c94c002ea96b7e6e171c951b8b1ca3971b7f89e05b15df00ec56a006f9393889ae7f8045e9b328fad
    

Commentaires de version

Merci à tout ceux qui ont aidé à la préparation de cette version, notamment, nagachika.

La maintenance de Ruby 2.1, y compris cette version, est basé sur l’Accord des versions stables de Ruby de l’association Ruby.

Posté par usa le 2015-04-13
Traduit par Geoffrey Roguelon

Ruby 2.2.2 est disponible

Nous avons le plaisir d’annoncer la sorti de Ruby 2.2.2. C’est une mise à jour mineure de la série stable 2.2.

Cette version inclut un correctif de sécurité d’une extension d’OpenSSL sur la vérification du nom d’hôte.

Il y a également des correctifs de bugs. Consultez le ChangeLog pour plus de détails.

Téléchargement

  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2

    SIZE:   13314437 bytes
    SHA1:   de97ec6132ac76bb7c0f92b5ca4682138093af1b
    SHA256: f3b8ffa6089820ee5bdc289567d365e5748d4170e8aa246d2ea6576f24796535
    SHA512: d6693251296e9c6e8452786ce6b0447c8730aff7f92d0a92733444dbf298a1e7504b7bd29bb6ee4f2155ef94ccb63148311c3ed7ac3403b60120a3ab5c70a162
    
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz

    SIZE:   16613636 bytes
    SHA1:   29c51a17639d921b1ae51cd80a9d7584f67d5e1c
    SHA256: 5ffc0f317e429e6b29d4a98ac521c3ce65481bfd22a8cf845fa02a7b113d9b44
    SHA512: 0603f962980e14d206f8f1b3d5bb1b19d65f369bde71a686f3b4cef1d1dd09ef39afac3170947324f29a4ac17b99f9d406e5ca33b4950ece2e5baca0a42c791c
    
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz

    SIZE:   10463044 bytes
    SHA1:   58cfec8db9b51ad1ff3bd2b9065da087913a6268
    SHA256: f033b5d08ab57083e48c1d81bcd7399967578c370b664da90e12a32891424462
    SHA512: bd72d0a4c017e2527659f64ef2781bbe8bd540a2302eaa60234a12282fd53c359e04205c56385402c67e81bb9dab3b88de53de82e12bb13e3386c26301043b64
    
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip

    SIZE:   18448642 bytes
    SHA1:   7d26835cb7711dfe75f2c10fe38cb85f5ed56df5
    SHA256: dd96db09348034b21889df1b561c7482ee553558486707503c83908eddb3c768
    SHA512: 7487032e9108ea4b35f909e26c7202994524090b3c237713b8b406917cf65543ec7372d260dcacd5c9b269bb7645e1703b3a64ca3cc2efc8b2135c1d06729246
    

Commentaires de version

Plusieurs commiteurs, développeur et utilisateur qui ont fourni des rapports de bugs nous ont aidé à préparer cette version. Merci pour leurs contributions.

Posté par nagachika le 2015-04-13
Traduit par Geoffrey Roguelon

CVE-2015-1855: Vérification des noms d’hôte par Ruby OpenSSL

L’extension OpenSSL de Ruby souffre d’une faille rendant la correspondance trop permissive des noms d’hôte, cela peut mener à des bugs similaires à CVE-2014-1492. Des problèmes similaires ont été identifiés dans Python.

Cette faille a reçu l’identifiant CVE CVE-2015-1855.

Nous vous recommandons vivement de mettre à jour Ruby.

Détails

Après relecture de la RFC 6125 et de la RFC 5280, nous avons trouvé plusieurs violations de la correspondance des noms d’hôtes et plus particulièrement avec les certficats wildcard.

L’extension OpenSSL de Ruby fournira dorénavant un algorithme de correspondance par chaîne de caractères qui a un comportement plus stricte, comme spécifié par ces RFCs. Plus particulièrement, la correspondance de plusieurs wildcard par sujet/SAN n’est plus autorisée. Enfin, la comparaison de ces valeurs est insensible à la casse.

Ce changement s’opère dans le comportement de la méthode OpenSSL::SSL#verify_certificate_identity.

Spécifiquement:

  • Seul un caractère wildcard dans la partie gauche du nom d’hôte est autorisé.
  • Les noms IDNA peuvent désormais être trouvé seulement par un simple wikdcard (ex: ‘*.domain’).
  • Sujet/SAN doivent être limité aux caractères ASCII seuelement.

Tous les utilisateurs utilisant une version affectée doivent mettre à jour immédiatement.

Versions concernées

  • Toutes les versions de Ruby 2.0 antérieures à Ruby 2.0.0-p645
  • Toutes les versions de Ruby 2.1 antérieures à Ruby 2.1.6
  • Toutes les versions de Ruby 2.2 antérieures à Ruby 2.2.2
  • toutes révisions antérieures à la révision 50292 du trunk

Crédits

Merci à Tony Arcieri, Jeffrey Walton, et Steffan Ullrich pour avoir signalé cette faille. Signalée à l’origine par Bug #9644, et correctif soumis par Tony Arcieri et Hiroshi Nakamura.

Historique

  • Publié à l’origine le 13/04/2015 à 12h00 (UTC)

Posté par zzak le 2015-04-13
Traduit par Geoffrey Roguelon