Sortie de Ruby 1.9.3-p194

Ruby 1.9.3-p194 a été publié.

Cette version inclut un correctif de sécurité pour RubyGems : elle corrige l'échec de la vérification des certificats SSL sur les serveurs. Elle contient également des correctifs pour d'autres bugs.

Correctif de sécurité pour RubyGems : échec de la vérification des certificats SSL sur les dépôts distants

Cette version inclut deux correctifs de sécurité pour Rubygems :

  • Elle active la vérification des certificats SSL serveur
  • Désactive les redirections du https vers le http

Les utilisateurs qui utilisent des sources en https dans les fichiers .gemrc ou /etc/gemrc sont encouragés à mettre à jour vers la version 1.9.3-p194.

Voici un extrait des notes de sortie de RubyGems 1.8.23 [1].

« Cette version augmente la sécurité quand RubyGems communique avec des serveurs https. Si vous utilisez un serveur RubyGems privé en SSL, cette version empêchera RubyGems de s'y connecter à moins que le certificat SSL ne soit valide.

Cependant, vous pouvez configurer l'utilisation des certificats SSL dans Rubgems grâce aux options :ssl_ca_cert et :ssl_verify_mode des fihiers ~/.gemrc et /etc/gemrc. La bonne pratique consiste à renseigner :ssl_ca_cert avec le certificat du CA de votre serveur ou d'un groupe de certificats contenant celui de votre CA.

Vous pouvez aussi définir :ssl_verify_mode à 0 pour désactiver complètement la vérification des certificats SSL, bien que ce ne soit pas recommandé. »

Merci à John Firebaugh pour avoir remonté ce problème.

[1] <URL:https://github.com/rubygems/rubygems/blob/1.8/History.txt>

Correctifs

  • Correctif de sécurité pour RubyGems : échec de la vérification des certificats SSL sur les dépôts distants
  • d'autres corrections diverses.

Pour plus d'informations, vous pouvez consultez les tickets et le ChangeLog.

Téléchargements