Ruby 1.9.2-p320 ist veröffentlicht worden.
Dieses Release behebt ein Sicherheitsproblem in RubyGems, das dazu führte, dass SSL-Server für Repositories nicht verifiziert wurden. Daneben sind in diesem Release natürlich auch viele weitere Fehler behoben worden.
Geschrieben von Quintus am 22.04.2012
Ruby 1.9.3-p194 ist veröffentlicht worden.
Dieses Release behebt ein Sicherheitsproblem in RubyGems, das dazu führte, dass SSL-Server für Repositories nicht verifiziert wurden. Daneben sind in diesem Release natürlich auch viele weitere Fehler behoben worden.
Geschrieben von Quintus am 20.04.2012
Yukihiro “Matz” Matsumoto ist für seine Tätigkeiten im Geiste offener Software mit dem Free Software Award der Free Software Foundation ausgezeichnet worden. Geehrt wurde er vor allem für seine Arbeit an der Programmiersprache Ruby und an anderen GNU-Projekten.
Meldung der Free Software Foundation
Meldung auf heise.de
Geschrieben von Skade am 29.03.2012
Ruby 1.9.3-p125 ist veröffentlicht worden.
Dieses Release enthält einen Sicherheitsfix für Rubys OpenSSL-Erweiterung. Auch wurden viele andere Fehler behoben.
Geschrieben von Quintus am 16.02.2012
In OpenSSL wird die SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS-Option von SSL-Verbindungen benutzt, um die unter [1] beschriebene TLS-CBC-IV-Schwachstelle zu beheben. Obwohl es eigentlich ein bekannter Fehler von TLSv1/SSLv3 ist, erhält dies momentan als “BEAST-Angriff” [2] (CVE-2011-3389) besondere Aufmerksamkeit. Das zugehörige Ticket befindet sich in unserem Issue-Tracker [3].
Geschrieben von Quintus am 16.02.2012
Es handelt sich hierbei um etwas, das mit mathematischer Komplexität zu tun hat. Es wurden speziell angefertige Folgen von Strings gefunden, welche untereinander kollidierende Hashwerte besitzen. Mithilfe solcher Aneinanderreihnungen ist es einem Angreifer etwa mithilfe von POST-Parametern eines HTTP-Requests für eine Rails-Anwendung möglich, eine Denial-Of-Service-Attacke durchzuführen.
Geschrieben von Quintus am 04.01.2012
