由 NARUSE, Yui 发布于 2012年4月21日

Ruby 1.9.2-p320 已发布。

此版本包含 RubyGems 的安全修复：远程仓库的 SSL 服务器验证失败。并且在此版本中修复了许多错误。

RubyGems 的安全修复：远程仓库的 SSL 服务器验证失败

此版本包括 RubyGems 中的两个安全修复。

• 启用服务器 SSL 证书的验证
• 禁止从 https 重定向到 http

建议在 .gemrc 或 /etc/gemrc 中使用 https 源的用户升级到 1.9.2-p320 或 1.9.3-p194。

以下摘自 RubyGems 1.8.23 发行说明 [1]。

“此版本增加了 RubyGems 与 https 服务器通信时使用的安全性。如果您通过 SSL 使用自定义 RubyGems 服务器，此版本将导致 RubyGems 不再连接，除非您的 SSL 证书是全局有效的。

您可以通过 ~/.gemrc 和 /etc/gemrc 中的 :ssl_ca_cert 和 :ssl_verify_mode 选项在 RubyGems 中配置 SSL 证书的使用。推荐的方法是将 :ssl_ca_cert 设置为您的服务器的 CA 证书或包含您的 CA 认证的证书包。

您也可以将 :ssl_verify_mode 设置为 0 以完全禁用 SSL 证书检查，但不建议这样做。”

感谢 John Firebaugh 报告此问题。

[1] <URL:https://github.com/rubygems/rubygems/blob/1.8/History.txt>

修复

• RubyGems 的安全修复：远程仓库的 SSL 服务器验证失败
• 其他错误修复

有关详细信息，请参阅 工单 和 更改日志。

下载

• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p320.tar.bz2>
  • 大小：8981382 字节
  • MD5: b226dfe95d92750ee7163e899b33af00
  • SHA256: 6777f865cfa21ffdc167fcc4a7da05cb13aab1bd9e59bfcda82c4b32f75e6b51
• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p320.tar.gz>
  • 大小：11338691 字节
  • MD5: 5ef5d9c07af207710bd9c2ad1cef4b42
  • SHA256: 39a1f046e8756c1885cde42b234bc608196e50feadf1d0f202f7634f4a4b1245
• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p320.zip>
  • 大小：12730896 字节
  • MD5: 0bdfd04bfeb0933c0bdcd00e4ea94c49
  • SHA256: 83db9c86d5cf20bb91e625c3c9c1da8e61d941e1bc8ff4a1b9ea70c12f2972d3

订阅

最新新闻 (RSS)