Une mise à jour concernant le langage Ruby vient d’être proposée pour faire face à une vulnérabilité dans Ruby Net::HTTPS
Impact
La vulnérabilité se trouve dans la méthode connect à l’intérieur de http.rb qui ne parvient pas à appeler call post_connection_check après la négociation de la connection SSL. Le CN du certificat serveur n’est pas validé en comparaison du nom DNS. Sans cette validation un attaquant peut présenter un certificat valide cryptographiquement mais avec un CN invalide.
Versions touchées:
* Séries 1.8 ** 1.8.4 et précédent ** 1.8.5-p113 et précédent ** 1.8.6-p110 et précédent * Version de développement (séries 1.9) ** versions avant 23-09-2006Solutions:
* Séries 1.8 ** mises à jour 1.8.6-p111 or 1.8.5-p114 * Version de développement (séries 1.9) ** mise à jour de Ruby à une version après 23-09-2006.comments : 0 Add comment
