Ruby lukker SSL-hul

Artiklen blev oprindeligt publiceret den 28/6/2013

Udviklerne af programmeringssproget Ruby har lukket et sikkerhedshul i behandlingen af krypteret kommunikation.

Sårbarheden, der findes i den indbyggede version af OpenSSL, gør det muligt at gennemføre et man-in-the-middle-angreb. Fejlen ligger i kontrollen af det servernavn, som et SSL-certifikat er udstedt til.

Fejlen er rettet i Ruby 1.8.7 p374, Ruby 1.9.3 p448 og Ruby 2.0.0 p247.

Rettelsen til Ruby 1.8.7 indeholder også en rettelse til ude-af-drift-sårbarhed.

Anbefaling
Opdater til seneste version af Ruby.

Links

• Ruby update fixes SSL man-in-the-middle vulnerability, artikel fra The H Security
• Hostname check bypassing vulnerability in SSL client (CVE-2013-4073)