Ruby 1.9.3-p194 已发布

Ruby 1.9.3-p194 已发布。

此版本包含针对 RubyGems 的安全修复:远程仓库的 SSL 服务器验证失败。并且在此版本中修复了许多错误。

针对 RubyGems 的安全修复:远程仓库的 SSL 服务器验证失败

此版本包括 RubyGems 中的两个安全修复。

  • 启用服务器 SSL 证书的验证
  • 禁止从 https 重定向到 http

鼓励在 .gemrc 或 /etc/gemrc 中使用 https 源的用户升级到 1.9.3-p194。

以下摘自 RubyGems 1.8.23 发行说明 [1]。

“此版本增强了 RubyGems 与 https 服务器通信时使用的安全性。如果您通过 SSL 使用自定义 RubyGems 服务器,则除非您的 SSL 证书全局有效,否则此版本将导致 RubyGems 不再连接。”

您可以通过 ~/.gemrc 和 /etc/gemrc 中的 :ssl_ca_cert 和 :ssl_verify_mode 选项在 RubyGems 中配置 SSL 证书的使用。 推荐的方法是将 :ssl_ca_cert 设置为您的服务器的 CA 证书或包含您的 CA 证书的证书包。

您也可以将 :ssl_verify_mode 设置为 0 以完全禁用 SSL 证书检查,但不建议这样做。”

感谢 John Firebaugh 报告此问题。

[1] <URL:https://github.com/rubygems/rubygems/blob/1.8/History.txt>

修复

  • 针对 RubyGems 的安全修复:远程仓库的 SSL 服务器验证失败
  • 其他错误修复

有关详细信息,请参见工单变更日志

下载