Sortie de Ruby 1.9.3-p125
La version 1.9.3-p125 de Ruby est sortie. Elle inclut un correctif de sécurité pour l'extension OpenSSL de Ruby et corrige d'autres bugs.
Posté par Bruno Michel le 2012-02-16
Correction d'une faille de sécurité dans le module OpenSSL : "0/n splitting" comme mesure préventive contre l'attaque TLS BEAST.
Dans OpenSSL, l'option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS pour les
connections SSL est utilisée pour se prémunir d'une vulnérabilité de
TLS-CBC-IV. Il s'agit d'une faille bien connue de TLSv1/SSLv3, qui
est revenue sur le devant de la scène sous le nom d'attaque BEAST
(CVE-2011-3389). Les discussions à ce sujet sont consultables sur le
Ruby Bug Tracker.
Posté par Jean-Denis Vauguet le 2012-02-16