Sortie de Ruby 1.9.3-p125 pour corriger une faille de sécurité

Posté par  (site web personnel) . Édité par Nÿco et Benoît Sibaud. Modéré par Lucas Bonnet. Licence CC By‑SA.
Étiquettes :
18
16
fév.
2012
Ruby

La version 1.9.3-p125 de Ruby est sortie aujourd'hui. Elle vient corriger une faille de sécurité dans le module OpenSSL, ainsi que d'autres bugs.

Dans OpenSSL, l'option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS pour les connexions SSL est utilisée pour se prémunir d'une vulnérabilité de TLS-CBC-IV. Il s'agit d'une faille bien connue de TLSv1/SSLv3, qui est revenue sur le devant de la scène sous le nom d'attaque BEAST (CVE-2011-3389). Jusqu'à présent, l'extension OpenSSL de Ruby ne permettait pas de désactiver cette option. Or, pour contrer l'attaque BEAST, il s'avère que Ruby doit laisser la possibilité aux utilisateurs de la désactiver afin d'insérer des fragments vides au début des connexions SSL (le fameux "0/n splitting").

Aller plus loin

  • # Pas très clair

    Posté par  . Évalué à 0.

    Merci, mais la brève ne me paraît pas très claire. Si je comprends bien il s'agit simplement d'un copier-coller depuis ruby-lang, avec la typo "à début des" telle quelle :)

    • [^] # Re: Pas très clair

      Posté par  . Évalué à 1.

      allez, je suis bonne pâte, malgré la mauvaise notation de mon commentaire précédent, je retente d'apporter un peu d'information. Voici donc une vraie explication (en anglais par contre) :

      http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html

      • [^] # Re: Pas très clair

        Posté par  . Évalué à 5.

        L'ironie c'est qu'OpenSSL fournit des contre-mesures par défaut, mais beaucoup d'utilisations d'OpenSSL les désactivent en utilisant l'option SSL_OP_ALL (censée améliorer la compatibilité avec les implémentations SSL buguées, et recommandée en tant que telle).

        Là où ça devient surréaliste c'est la doc OpenSSL qui dit que “It is usually safe to use SSL_OP_ALL to enable the bug workaround options if compatibility with somewhat broken implementations is desired” (*). Une documentation exacte ne devrait pas être un luxe.

        ((*) c'est moi qui souligne)

  • # Comme...

    Posté par  . Évalué à 1.

    Ah :-( finalement Ruby c'est un peu comme PHP...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.