ruby · JuanitoFatas · Apr 14, 2015 · Apr 13, 2015 · Apr 13, 2015 · Apr 13, 2015
@@ -0,0 +1,55 @@
+---
+layout: news_post
+title: "Ruby 2.0.0-p645 發佈"
+author: "usa"
+translator: "JuanitoFatas"
+date: 2015-04-13 12:00:00 +0000
+lang: zh_tw
+---
+
+很高興宣布 2.0.0-p645 發佈了。
+
+本次發佈包含了 OpenSSL 擴展的安全性修正。請參考下文連結來了解更多細節。
+
+* [CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險](https://www.ruby-lang.org/zh_tw/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/)
+
+Ruby 2.0.0 處於安全性維護階段，將會在 2016 年 2 月 24 日中止。建議您開始計畫遷移到新版的 Ruby，像是 2.1 或 2.2。
+
+本次發佈除了上述安全性修正之外，還有測試環境所需的小修改（不會影響到一般使用者）。
+
+參見 [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_0_0_645/ChangeLog) 來了解更多細節。
+
+## 下載
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2)
+
+      SIZE:   10786492 bytes
+      SHA1:   e724dd0e4a1e820a368be307aa0863a8ecf4b694
+      SHA256: 2dcdcf9900cb923a16d3662d067bc8c801997ac3e4a774775e387e883b3683e9
+      SHA512: e9ca186b1cf0877cdbecd43dcab2c5161a53103e926609d5e1b769a4980eab4571bfd0951788b4fc92dfd9d10175b0f5f36ea2c7289e575a9db9b62c02f93185
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz)
+
+      SIZE:   13620967 bytes
+      SHA1:   4f922cda8d8f745f7b80cef8f79a0b51c252bbf5
+      SHA256: 5e9f8effffe97cba5ef0015feec6e1e5f3bacf6ace78cd1cdf72708cd71cf4ab
+      SHA512: 4503e9d52d2f740ed00437f645cd532044a684b523b8044c0ba4e1b4e69649d2274d5b94fc8273acbbc19d3bb3f15375b93de5140d39f973f2fbb746500633b8
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz)
+
+      SIZE:   8295192 bytes
+      SHA1:   eee2d0d06de5b22d7542c605b4f2db24b0cb26bc
+      SHA256: 875be4f57bdbb2d2be0d64bfd8fc5022f004d55261ead8fd0cdc2e9e415e9f7b
+      SHA512: 440f8ea50f51c53f90e42a8dfd7cd41f806b290d5c12c09f84d9159ab9c95e19b036cd8a5dc788844da501b9fcd1fa8ad8352ef7417998debc1b43a61a4ea4dc
+
+* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip)
+
+      SIZE:   15139168 bytes
+      SHA1:   384cc548291e91d0b9d7297bbc9aed46b88f254a
+      SHA256: 2ad4eaabfd92d627baffc6c971e4b8987b38c06baf42dc2fc2e05131095499e7
+      SHA512: 271373873570a0b47124cbc0232fff6be353264a0891dd04800c1c9f79b1297f66e0d4e817f474432b20cbf055c8f421548a11a6ec19b68dad16cc78f1ba9876
+
+## 發佈記
+
+感謝所有幫忙發佈此版本的朋友，特別感謝 zzak。
+
@@ -0,0 +1,55 @@
+---
+layout: news_post
+title: "Ruby 2.1.6 發佈"
+author: "usa"
+translator: "JuanitoFatas"
+date: 2015-04-13 12:00:00 +0000
+lang: zh_tw
+---
+
+Ruby 2.1.6 已經發佈了。
+
+本次發佈包含了 OpenSSL 擴展的安全性修正。請參考下文連結來了解更多細節。
+
+* [CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險](https://www.ruby-lang.org/zh_tw/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/)
+
+同時也包含了許多錯誤修正。
+參見 [tickets](https://bugs.ruby-lang.org/projects/ruby-21/issues?set_filter=1&amp;status_id=5)
+以及 [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_1_6/ChangeLog)
+來了解更多細節。
+
+## 下載
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2)
+
+      SIZE:   12011651 bytes
+      SHA1:   380c3a5fa508fdaa2b227dbc00c56f703fd271d4
+      SHA256: 7b5233be35a4a7fbd64923e42efb70b7bebd455d9d6f9d4001b3b3a6e0aa6ce9
+      SHA512: 75d58120b5f387bcadbf6d19e85624f78c74f81b9018baef39207214673f7ebc0700ab31145acd88b4071c896ba8e1302a29c90955bcf5f8c863634125022aa6
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz)
+
+      SIZE:   15141710 bytes
+      SHA1:   426289b6647ce35ad101091825b6e7e5fce207f3
+      SHA256: 1e1362ae7427c91fa53dc9c05aee4ee200e2d7d8970a891c5bd76bee28d28be4
+      SHA512: 6563d8f39623ed5ba227725c54e630886412938bdf7c4cf03337d6c245af58d92274a098ea0e03bfd0e94970f4ee82909c366ae81db4b9317c10b92167bfc46d
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz)
+
+      SIZE:   9381724 bytes
+      SHA1:   e429644f27c243474268bf548e6fa95d05579aaf
+      SHA256: 137b27bffefd795fd97c288fff539d135f42320f8a1afddde99a34e1fbe7314e
+      SHA512: 0cf91fe7ae53a3f9c034fa5996eeed91889b942b8e595e84be4e244adc30d79aa3f540cc6f657982715069dfb14af20786557689d9a8fe4bbfc66280e84dd6cf
+
+* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip)
+
+      SIZE:   16671680 bytes
+      SHA1:   e79a033ab847e0d67940e31bac0debf197fad615
+      SHA256: ecbc4b97cc78e96e01375b961936133279db806044fd4d23771136dae4c1056d
+      SHA512: d1450bd013dbaabf10d7097e9dcd8c3f027110c08693ee7c94c002ea96b7e6e171c951b8b1ca3971b7f89e05b15df00ec56a006f9393889ae7f8045e9b328fad
+
+## 發佈記
+
+感謝所有幫忙發佈此版本的朋友，特別感謝 nagachika
+
+Ruby 2.1 的維護（包含本版本）是基於 [Ruby 協會](http://www.ruby.or.jp/)關於穩定版本的協議。
@@ -0,0 +1,52 @@
+---
+layout: news_post
+title: "Ruby 2.2.2 發佈"
+author: "nagachika"
+translator: "Juanito Fatas"
+date: 2015-04-13 12:00:00 +0000
+lang: zh_tw
+---
+
+很高興宣布 Ruby 2.2.2 發佈了。這是 2.2 穩定版系列的一次 TENNY 版本發佈。
+
+本次發佈包含了 OpenSSL 擴展的主機名稱驗證的安全風險修正。
+
+* [CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險](https://www.ruby-lang.org/zh_tw/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/)
+
+同時帶有許多錯誤修正。
+參見 [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_2_2/ChangeLog)
+來了解更多細節。
+
+## 下載
+
+* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2)
+
+      SIZE:   13314437 bytes
+      SHA1:   de97ec6132ac76bb7c0f92b5ca4682138093af1b
+      SHA256: f3b8ffa6089820ee5bdc289567d365e5748d4170e8aa246d2ea6576f24796535
+      SHA512: d6693251296e9c6e8452786ce6b0447c8730aff7f92d0a92733444dbf298a1e7504b7bd29bb6ee4f2155ef94ccb63148311c3ed7ac3403b60120a3ab5c70a162
+
+* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz)
+
+      SIZE:   16613636 bytes
+      SHA1:   29c51a17639d921b1ae51cd80a9d7584f67d5e1c
+      SHA256: 5ffc0f317e429e6b29d4a98ac521c3ce65481bfd22a8cf845fa02a7b113d9b44
+      SHA512: 0603f962980e14d206f8f1b3d5bb1b19d65f369bde71a686f3b4cef1d1dd09ef39afac3170947324f29a4ac17b99f9d406e5ca33b4950ece2e5baca0a42c791c
+
+* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz)
+
+      SIZE:   10463044 bytes
+      SHA1:   58cfec8db9b51ad1ff3bd2b9065da087913a6268
+      SHA256: f033b5d08ab57083e48c1d81bcd7399967578c370b664da90e12a32891424462
+      SHA512: bd72d0a4c017e2527659f64ef2781bbe8bd540a2302eaa60234a12282fd53c359e04205c56385402c67e81bb9dab3b88de53de82e12bb13e3386c26301043b64
+
+* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip)
+
+      SIZE:   18448642 bytes
+      SHA1:   7d26835cb7711dfe75f2c10fe38cb85f5ed56df5
+      SHA256: dd96db09348034b21889df1b561c7482ee553558486707503c83908eddb3c768
+      SHA512: 7487032e9108ea4b35f909e26c7202994524090b3c237713b8b406917cf65543ec7372d260dcacd5c9b269bb7645e1703b3a64ca3cc2efc8b2135c1d06729246
+
+## 發佈記
+
+這次的發行版要感謝許多提交者、測試者以及熱心回報錯誤的使用者的幫助，感謝他們的貢獻。
@@ -0,0 +1,55 @@
+---
+layout: news_post
+title: "CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險"
+author: "zzak"
+translator: "Juanito Fatas"
+tags: security
+date: 2015-04-13 12:00:00 +0000
+lang: zh_tw
+---
+
+Ruby 的 OpenSSL 擴展存在一個安全性風險，原因是主機名稱的匹配過於寬容，進而導致像是 [CVE-2014-1492][CVE-2014-1492] 的錯誤。類似的問題也在 [Python][python-hostname-bug] 當中找到。
+
+本次風險的 CVE 識別號指派為 [CVE-2015-1855][CVE-2015-1855]。
+
+強烈建議您升級 Ruby。
+
+## 細節
+
+在重新檢視 [RFC 6125][RFC-6125] 以及 [RFC 5280][RFC-5280] 之後，我們發現匹配主機名稱，特別是匹配證書的通配符違反了許多規則。
+
+Ruby 的 OpenSSL 擴展現在提供一個基於字串的匹配演算法，行為更加嚴謹，遵循上述 RFC 所推薦的做法。特別要提的是，不再允許一個 subject/SAN 匹配多於一個通配符。而匹配數值的比對，現在改為不區分大小寫。
+
+本次修正會影響 Ruby `OpenSSL::SSL#verify_certificate_identity` 方法的行為。
+
+特別說明：
+
+* 主機名稱最左部分只允許一個通配符（wildcard）
+* IDNA 名稱現在可以用一個簡單的通配符來匹配（譬如 `'\*.domain'`）
+* Subject/SAN 應該限制只能使用 ASCII 字元
+
+所有使用受影響版本的使用者應儘速升級。
+
+## 受影響版本
+
+* 所有 Ruby 2.0 patchlevel 在 645 以前的版本
+* 所有 Ruby 2.1 在 2.1.6 以前的版本
+* 所有 Ruby 2.2 在 2.2.2 以前的版本
+* 主幹 revision 50292 以前的版本
+
+## 致謝
+
+感謝 Tony Arcieri、Jeffrey Walton 以及 Steffan Ullrich 回報此問題。最初回報此問題的票為 [Bug #9644][Bug-9644]，修正補丁由 Tony Arcieri 以及 Hiroshi Nakamura 提交。
+
+## 編輯歷史
+
+* 初次發佈於 2015-04-13 12:00:00 (UTC)
+
+[CVE-2014-1492]: https://bugzilla.mozilla.org/show_bug.cgi?id=903885
+[python-hostname-bug]: https://bugs.python.org/issue17997
+[CVE-2015-1855]: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1855
+[RFC-6125]: https://tools.ietf.org/html/rfc6125
+[RFC-5280]: https://tools.ietf.org/html/rfc5280
+[Bug-9644]: https://bugs.ruby-lang.org/issues/9644
+
+