由 NARUSE, Yui 发布于 2012 年 4 月 20 日
Ruby 1.9.3-p194 已发布。
此版本包含针对 RubyGems 的安全修复:远程仓库的 SSL 服务器验证失败。并且在此版本中修复了许多错误。
针对 RubyGems 的安全修复:远程仓库的 SSL 服务器验证失败
此版本包括 RubyGems 中的两个安全修复。
- 启用服务器 SSL 证书的验证
- 禁止从 https 重定向到 http
鼓励在 .gemrc 或 /etc/gemrc 中使用 https 源的用户升级到 1.9.3-p194。
以下摘自 RubyGems 1.8.23 发行说明 [1]。
“此版本增强了 RubyGems 与 https 服务器通信时使用的安全性。如果您通过 SSL 使用自定义 RubyGems 服务器,则除非您的 SSL 证书全局有效,否则此版本将导致 RubyGems 不再连接。”
您可以通过 ~/.gemrc 和 /etc/gemrc 中的 :ssl_ca_cert 和 :ssl_verify_mode 选项在 RubyGems 中配置 SSL 证书的使用。 推荐的方法是将 :ssl_ca_cert 设置为您的服务器的 CA 证书或包含您的 CA 证书的证书包。
您也可以将 :ssl_verify_mode 设置为 0 以完全禁用 SSL 证书检查,但不建议这样做。”
感谢 John Firebaugh 报告此问题。
[1] <URL:https://github.com/rubygems/rubygems/blob/1.8/History.txt>
修复
- 针对 RubyGems 的安全修复:远程仓库的 SSL 服务器验证失败
- 其他错误修复
下载
- <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p194.tar.bz2>
- 大小:9841223 字节
- MD5: 2278eff4cfed3cbc0653bc73085caa34
- SHA256: a9d1ea9eaea075c60048369a63b35b3b5a06a30aa214a3d990e0bb71212db8fa
- <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p194.tar.gz>
- 大小:12432239 字节
- MD5: bc0c715c69da4d1d8bd57069c19f6c0e
- SHA256: 46e2fa80be7efed51bd9cdc529d1fe22ebc7567ee0f91db4ab855438cf4bd8bb
- <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p194.zip>
- 大小:13898712 字节
- MD5: 77e67b15234e442d4a3dcc450bc70fea
- SHA256: 77474cfb92385b3a0b4c346553048bc65bfe68d4f220128329671a0234cb124d