Ruby 1.9.2-p320 Dirilis

Ruby 1.9.2-p320 Dirilis.

Rilis ini mencakup perbaikan keamanan untuk RubyGem: kegagalan verifikasi server SSL untuk repositori remote. Dan banyak bug diperbaiki pada rilis ini.

Perbaikan Keamanan untuk RubyGem: Kegagalan Verifikasi Server SSL untuk Repositori Remote

Rilis ini mencakup 2 perbaikan keamanan pada RubyGems.

  • Aktifkan verifikasi dari sertifikat SSL server
  • Larang pengalihan dari https ke http

Para pengguna yang menggunakan sumber https pada .gemrc atau /etc/gemrc disarankan untuk meng-upgrade ke 1.9.2-p320 atau 1.9.3-p194.

Berikut ini cuplikan dari catatan rilis RubyGem 1.8.23 [1].

"Rilis ini meningkatkan keamanan yang digunakan saat RubyGem berkomunikasi dengan sebuah server https. Jika Anda menggunakan RubyGems Anda sendiri melalui SSL, rilis ini akan menyebabkan RubyGems untuk tidak melakukan koneksi lagi, kecuali sertifikat SSL Anda sah secara global.

Anda dapat mengkonfigurasi penggunaan sertifikat SSL pada RubyGem melalui pilihan :ssl_ca_cert dan :ssl_verify_mode di ~/.gemrc dan /etc/gemrc. Cara yang disarankan adalah mengeset :ssl_ca_cert ke sertifikat CA untuk server Anda atau bundel sertifikat yang mengandung sertifikat CA Anda.

Anda boleh juga mengeset :ssl_verify_mode ke 0 untuk menonaktifkan pengecekan sertifikat SSL, tetapi ini tidak disarankan."

Terima kasih kepada John Firebaugh untuk melaporkan masalah ini.

[1] <URL:https://github.com/rubygems/rubygems/blob/1.8/History.txt>

Perbaikan

  • Perbaikan Keamanan untuk RubyGem: Kegagalan verifikasi server SSL untuk repositori remote
  • Perbaikan bug-bug lain

Lihat tiket dan ChangeLog untuk rinciannya.

Unduhan