Sortie de Ruby 1.9.3-p125 pour corriger une faille de sécurité

Posté par Bruno Michel (site web personnel) le 16 février 2012 à 22:30. Édité par Nÿco et Benoît Sibaud. Modéré par Lucas Bonnet. Licence CC By‑SA.

Étiquettes :

fév.

2012

La version 1.9.3-p125 de Ruby est sortie aujourd'hui. Elle vient corriger une faille de sécurité dans le module OpenSSL, ainsi que d'autres bugs.

Dans OpenSSL, l'option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS pour les connexions SSL est utilisée pour se prémunir d'une vulnérabilité de TLS-CBC-IV. Il s'agit d'une faille bien connue de TLSv1/SSLv3, qui est revenue sur le devant de la scène sous le nom d'attaque BEAST (CVE-2011-3389). Jusqu'à présent, l'extension OpenSSL de Ruby ne permettait pas de désactiver cette option. Or, pour contrer l'attaque BEAST, il s'avère que Ruby doit laisser la possibilité aux utilisateurs de la désactiver afin d'insérer des fragments vides au début des connexions SSL (le fameux "0/n splitting").

Aller plus loin

Annonce de la sortie de Ruby 1.9.3-p125 (54 clics)
Correction d'une faille de sécurité dans le module OpenSSL : "0/n splitting" comme mesure préventive (38 clics)
DLFP : Sortie de Ruby 1.9.3 (30 clics)

# Pas très clair

Posté par paul le 17 février 2012 à 11:30. Évalué à 0.

Merci, mais la brève ne me paraît pas très claire. Si je comprends bien il s'agit simplement d'un copier-coller depuis ruby-lang, avec la typo "à début des" telle quelle :)
- [^] # Re: Pas très clair
  
  Posté par paul le 17 février 2012 à 11:57. Évalué à 1.
  
  allez, je suis bonne pâte, malgré la mauvaise notation de mon commentaire précédent, je retente d'apporter un peu d'information. Voici donc une vraie explication (en anglais par contre) :
  
  http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html
  - [^] # Re: Pas très clair
    
    Posté par Antoine le 17 février 2012 à 12:57. Évalué à 5.
    
    L'ironie c'est qu'OpenSSL fournit des contre-mesures par défaut, mais beaucoup d'utilisations d'OpenSSL les désactivent en utilisant l'option SSL_OP_ALL (censée améliorer la compatibilité avec les implémentations SSL buguées, et recommandée en tant que telle).
    
    Là où ça devient surréaliste c'est la doc OpenSSL qui dit que “It is usually safe to use SSL_OP_ALL to enable the bug workaround options if compatibility with somewhat broken implementations is desired” (*). Une documentation exacte ne devrait pas être un luxe.
    
    ((*) c'est moi qui souligne)
# Comme...

Posté par tyoup le 18 février 2012 à 08:12. Évalué à 1.

Ah :-( finalement Ruby c'est un peu comme PHP...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

Aller plus loin

# Pas très clair

[^] # Re: Pas très clair

[^] # Re: Pas très clair

# Comme...