Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3246-1 ruby1.9.1

Säkerhetsbulletin från Debian

DSA-3246-1 ruby1.9.1 -- säkerhetsuppdatering

Rapporterat den:

2015-05-02

Berörda paket:

ruby1.9.1

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-1855.

Ytterligare information:

Man har upptäckt att Rubytillägget OpenSSL, en del av tolken av språket Ruby, inte implementerar värdnamnsmatchning ordentligt, vilket bryter mot RFC 6125. Detta kunde tillåta fjärrangripare att utföra ett man-in-the-middle-angrepp via skapade SSL-certifikat.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.9.3.194-8.1+deb7u5.

Vi rekommenderar att ni uppgraderar era ruby1.9.1-paket.