Ruby 2.0.0 patchlevel 247, Ruby 1.9.3 patchlevel 448 dan Ruby 1.8.7 patchlevel 374 telah dirilis pada Kamis untuk membicarakan cek melewati lubang keamanan hostname di klien SSL.
Kerentanan - diidentifikasi oleh William Salju Orvis dari ISEC Partners - dapat dimanfaatkan oleh penjahat cyber untuk melancarkan serangan man-in-the-middle ke server SSL spoof melalui sertifikat sah yang dikeluarkan oleh otoritas sertifikat terpercaya.
"Ketika CA sebuah kepercayaan klien SSL memungkinkan untuk mengeluarkan sertifikat server yang memiliki byte null dalam subjectAltName, penyerang remote dapat memperoleh sertifikat untuk 'www.ruby-lang.org \ 0.example.com' dari CA untuk spoof 'www . ruby-lang.org 'dan man-in-the-tengah antara SSL klien dan server Ruby SSL, "penasehat membaca kerentanan.
Pengguna disarankan untuk memperbarui instalasi mereka sesegera mungkin, karena semua versi sebelumnya dari Ruby yang terpengaruh.
Ruby tersedia untuk di-download di sini.
0komentar:
Post a Comment