From 7add52318ee7e83231d8f51437d990e4c17e0b74 Mon Sep 17 00:00:00 2001 From: Juanito Fatas Date: Tue, 14 Apr 2015 00:00:17 +0800 Subject: [PATCH 1/3] Translate 2.0.0-p645, 2.1.6, 2.2.2 release posts and CVE-2015-1855 (zh_tw). --- .../2015-04-13-ruby-2-0-0-p645-released.md | 55 +++++++++++++++++++ .../_posts/2015-04-13-ruby-2-1-6-released.md | 55 +++++++++++++++++++ .../_posts/2015-04-13-ruby-2-2-2-released.md | 52 ++++++++++++++++++ ...openssl-hostname-matching-vulnerability.md | 55 +++++++++++++++++++ 4 files changed, 217 insertions(+) create mode 100644 zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md create mode 100644 zh_tw/news/_posts/2015-04-13-ruby-2-1-6-released.md create mode 100644 zh_tw/news/_posts/2015-04-13-ruby-2-2-2-released.md create mode 100644 zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md diff --git a/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md b/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md new file mode 100644 index 0000000000..298c179eea --- /dev/null +++ b/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md @@ -0,0 +1,55 @@ +--- +layout: news_post +title: "Ruby 2.0.0-p645 發佈" +author: "usa" +translator: "JuanitoFatas" +date: 2015-04-13 12:00:00 +0000 +lang: zh_tw +--- + +很高興宣布 2.0.0-p645 發佈了。 + +本次發佈包含了 OpenSSL 擴展的安全性修正。請參考下文連結來了解更多細節。 + +* [CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險](https://www.ruby-lang.org/zh_tw/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/) + +Ruby 2.0.0 處於安全性維護階段,將會在 2016 年 2 月 24 日中止。建議您開始計畫遷移到新版的 Ruby,像是 2.1 或 2.2。 + +本次發佈除了上述安全性修正之外,還有測試環境所需的小修改(不會影響到一般使用者)。 + +參見 [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_0_0_645/ChangeLog) 來了解更多細節。 + +## 下載 + +* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.bz2) + + SIZE: 10786492 bytes + SHA1: e724dd0e4a1e820a368be307aa0863a8ecf4b694 + SHA256: 2dcdcf9900cb923a16d3662d067bc8c801997ac3e4a774775e387e883b3683e9 + SHA512: e9ca186b1cf0877cdbecd43dcab2c5161a53103e926609d5e1b769a4980eab4571bfd0951788b4fc92dfd9d10175b0f5f36ea2c7289e575a9db9b62c02f93185 + +* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.gz) + + SIZE: 13620967 bytes + SHA1: 4f922cda8d8f745f7b80cef8f79a0b51c252bbf5 + SHA256: 5e9f8effffe97cba5ef0015feec6e1e5f3bacf6ace78cd1cdf72708cd71cf4ab + SHA512: 4503e9d52d2f740ed00437f645cd532044a684b523b8044c0ba4e1b4e69649d2274d5b94fc8273acbbc19d3bb3f15375b93de5140d39f973f2fbb746500633b8 + +* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.xz) + + SIZE: 8295192 bytes + SHA1: eee2d0d06de5b22d7542c605b4f2db24b0cb26bc + SHA256: 875be4f57bdbb2d2be0d64bfd8fc5022f004d55261ead8fd0cdc2e9e415e9f7b + SHA512: 440f8ea50f51c53f90e42a8dfd7cd41f806b290d5c12c09f84d9159ab9c95e19b036cd8a5dc788844da501b9fcd1fa8ad8352ef7417998debc1b43a61a4ea4dc + +* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.zip) + + SIZE: 15139168 bytes + SHA1: 384cc548291e91d0b9d7297bbc9aed46b88f254a + SHA256: 2ad4eaabfd92d627baffc6c971e4b8987b38c06baf42dc2fc2e05131095499e7 + SHA512: 271373873570a0b47124cbc0232fff6be353264a0891dd04800c1c9f79b1297f66e0d4e817f474432b20cbf055c8f421548a11a6ec19b68dad16cc78f1ba9876 + +## 發佈記 + +感謝所有幫忙發佈此版本的朋友,特別感謝 zzak。 + diff --git a/zh_tw/news/_posts/2015-04-13-ruby-2-1-6-released.md b/zh_tw/news/_posts/2015-04-13-ruby-2-1-6-released.md new file mode 100644 index 0000000000..acdcee9525 --- /dev/null +++ b/zh_tw/news/_posts/2015-04-13-ruby-2-1-6-released.md @@ -0,0 +1,55 @@ +--- +layout: news_post +title: "Ruby 2.1.6 發佈" +author: "usa" +translator: "JuanitoFatas" +date: 2015-04-13 12:00:00 +0000 +lang: zh_tw +--- + +Ruby 2.1.6 已經發佈了。 + +本次發佈包含了 OpenSSL 擴展的安全性修正。請參考下文連結來了解更多細節。 + +* [CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險](https://www.ruby-lang.org/zh_tw/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/) + +同時也包含了許多錯誤修正。 +參見 [tickets](https://bugs.ruby-lang.org/projects/ruby-21/issues?set_filter=1&status_id=5) +以及 [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_1_6/ChangeLog) +來了解更多細節。 + +## 下載 + +* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.bz2) + + SIZE: 12011651 bytes + SHA1: 380c3a5fa508fdaa2b227dbc00c56f703fd271d4 + SHA256: 7b5233be35a4a7fbd64923e42efb70b7bebd455d9d6f9d4001b3b3a6e0aa6ce9 + SHA512: 75d58120b5f387bcadbf6d19e85624f78c74f81b9018baef39207214673f7ebc0700ab31145acd88b4071c896ba8e1302a29c90955bcf5f8c863634125022aa6 + +* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.gz) + + SIZE: 15141710 bytes + SHA1: 426289b6647ce35ad101091825b6e7e5fce207f3 + SHA256: 1e1362ae7427c91fa53dc9c05aee4ee200e2d7d8970a891c5bd76bee28d28be4 + SHA512: 6563d8f39623ed5ba227725c54e630886412938bdf7c4cf03337d6c245af58d92274a098ea0e03bfd0e94970f4ee82909c366ae81db4b9317c10b92167bfc46d + +* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.tar.xz) + + SIZE: 9381724 bytes + SHA1: e429644f27c243474268bf548e6fa95d05579aaf + SHA256: 137b27bffefd795fd97c288fff539d135f42320f8a1afddde99a34e1fbe7314e + SHA512: 0cf91fe7ae53a3f9c034fa5996eeed91889b942b8e595e84be4e244adc30d79aa3f540cc6f657982715069dfb14af20786557689d9a8fe4bbfc66280e84dd6cf + +* [http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip](http://cache.ruby-lang.org/pub/ruby/2.1/ruby-2.1.6.zip) + + SIZE: 16671680 bytes + SHA1: e79a033ab847e0d67940e31bac0debf197fad615 + SHA256: ecbc4b97cc78e96e01375b961936133279db806044fd4d23771136dae4c1056d + SHA512: d1450bd013dbaabf10d7097e9dcd8c3f027110c08693ee7c94c002ea96b7e6e171c951b8b1ca3971b7f89e05b15df00ec56a006f9393889ae7f8045e9b328fad + +## 發佈記 + +感謝所有幫忙發佈此版本的朋友,特別感謝 nagachika + +Ruby 2.1 的維護(包含本版本)是基於 [Ruby 協會](http://www.ruby.or.jp/)關於穩定版本的協議。 diff --git a/zh_tw/news/_posts/2015-04-13-ruby-2-2-2-released.md b/zh_tw/news/_posts/2015-04-13-ruby-2-2-2-released.md new file mode 100644 index 0000000000..a4f62e1d0c --- /dev/null +++ b/zh_tw/news/_posts/2015-04-13-ruby-2-2-2-released.md @@ -0,0 +1,52 @@ +--- +layout: news_post +title: "Ruby 2.2.2 發佈" +author: "nagachika" +translator: "Juanito Fatas" +date: 2015-04-13 12:00:00 +0000 +lang: zh_tw +--- + +很高興宣布 Ruby 2.2.2 發佈了。這是 2.2 穩定版系列的一次 TENNY 版本發佈。 + +本次發佈包含了 OpenSSL 擴展的主機名稱驗證的安全風險修正。 + +* [CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險](https://www.ruby-lang.org/zh_tw/news/2015/04/13/ruby-openssl-hostname-matching-vulnerability/) + +同時帶有許多錯誤修正。 +參見 [ChangeLog](http://svn.ruby-lang.org/repos/ruby/tags/v2_2_2/ChangeLog) +來了解更多細節。 + +## 下載 + +* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.bz2) + + SIZE: 13314437 bytes + SHA1: de97ec6132ac76bb7c0f92b5ca4682138093af1b + SHA256: f3b8ffa6089820ee5bdc289567d365e5748d4170e8aa246d2ea6576f24796535 + SHA512: d6693251296e9c6e8452786ce6b0447c8730aff7f92d0a92733444dbf298a1e7504b7bd29bb6ee4f2155ef94ccb63148311c3ed7ac3403b60120a3ab5c70a162 + +* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.gz) + + SIZE: 16613636 bytes + SHA1: 29c51a17639d921b1ae51cd80a9d7584f67d5e1c + SHA256: 5ffc0f317e429e6b29d4a98ac521c3ce65481bfd22a8cf845fa02a7b113d9b44 + SHA512: 0603f962980e14d206f8f1b3d5bb1b19d65f369bde71a686f3b4cef1d1dd09ef39afac3170947324f29a4ac17b99f9d406e5ca33b4950ece2e5baca0a42c791c + +* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.tar.xz) + + SIZE: 10463044 bytes + SHA1: 58cfec8db9b51ad1ff3bd2b9065da087913a6268 + SHA256: f033b5d08ab57083e48c1d81bcd7399967578c370b664da90e12a32891424462 + SHA512: bd72d0a4c017e2527659f64ef2781bbe8bd540a2302eaa60234a12282fd53c359e04205c56385402c67e81bb9dab3b88de53de82e12bb13e3386c26301043b64 + +* [http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip](http://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.2.zip) + + SIZE: 18448642 bytes + SHA1: 7d26835cb7711dfe75f2c10fe38cb85f5ed56df5 + SHA256: dd96db09348034b21889df1b561c7482ee553558486707503c83908eddb3c768 + SHA512: 7487032e9108ea4b35f909e26c7202994524090b3c237713b8b406917cf65543ec7372d260dcacd5c9b269bb7645e1703b3a64ca3cc2efc8b2135c1d06729246 + +## 發佈記 + +這次的發行版要感謝許多提交者、測試者以及熱心回報錯誤的使用者的幫助,感謝他們的貢獻。 diff --git a/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md b/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md new file mode 100644 index 0000000000..99dba1678e --- /dev/null +++ b/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md @@ -0,0 +1,55 @@ +--- +layout: news_post +title: "CVE-2015-1855: Ruby OpenSSL Hostname Verification" +author: "zzak" +translator: "Juanito Fatas" +tags: security +date: 2015-04-13 12:00:00 +0000 +lang: zh_tw +--- + +Ruby 的 OpenSSL 擴展存在一個安全性風險,原因是主機名稱的匹配過於寬容,可以導致像是 [CVE-2014-1492][CVE-2014-1492] 的錯誤。類似的問題也在 [Python][python-hostname-bug] 當中找到。 + +本次風險的 CVE 識別號指派為 [CVE-2015-1855][CVE-2015-1855]。 + +強烈建議您升級 Ruby。 + +## 細節 + +在重新檢視 [RFC 6125][RFC-6125] 以及 [RFC 5280][RFC-5280] 之後,我們發現匹配主機名稱,特別是匹配證書的通配符違反了許多規則。 + +Ruby 的 OpenSSL 擴展現在提供一個基於字串的匹配演算法,行為更加嚴謹,遵循上述 RFC 所推薦的做法。特別要提的是,一個 subject/SAN 匹配多於一個通配符不再允許了。而這些數值的比對,現在改為不區分大小寫。 + +本次修正會影響 Ruby `OpenSSL::SSL#verify_certificate_identity` 方法的行為。 + +特別說明: + +* 主機名稱最左部分只允許一個通配符(wildcard) +* IDNA 名稱現在可以用一個簡單的通配符來匹配(譬如 '\*.domain') +* Subject/SAN 應該限制只能使用 ASCII 字元 + +所有使用受影響版本的使用者應儘速升級。 + +## 受影響版本 + +* 所有 Ruby 2.0 patchlevel 在 645 以前的版本 +* 所有 Ruby 2.1 在 2.1.6 以前的版本 +* 所有 Ruby 2.2 在 2.2.2 以前的版本 +* 主幹 revision 50292 以前的版本 + +## 致謝 + +感謝 Tony Arcieri、Jeffrey Walton 以及 Steffan Ullrich 回報此問題。最初回報此問題的票為 [Bug #9644][Bug-9644],修正補丁 Tony Arcieri 以及 Hiroshi Nakamura。 and patches submitted by Tony Arcieri and Hiroshi Nakamura. + +## 編輯歷史 + +* 初次發佈於 2015-04-13 12:00:00 (UTC) + +[CVE-2014-1492]: https://bugzilla.mozilla.org/show_bug.cgi?id=903885 +[python-hostname-bug]: https://bugs.python.org/issue17997 +[CVE-2015-1855]: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1855 +[RFC-6125]: https://tools.ietf.org/html/rfc6125 +[RFC-5280]: https://tools.ietf.org/html/rfc5280 +[Bug-9644]: https://bugs.ruby-lang.org/issues/9644 + + From 3386d51c03a5d016eb2da98d41a0131c54e28584 Mon Sep 17 00:00:00 2001 From: Juanito Fatas Date: Tue, 14 Apr 2015 00:15:19 +0800 Subject: [PATCH 2/3] Apply my self-review. --- ...-13-ruby-openssl-hostname-matching-vulnerability.md | 10 +++++----- 1 file changed, 5 insertions(+), 5 deletions(-) diff --git a/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md b/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md index 99dba1678e..462402c38c 100644 --- a/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md +++ b/zh_tw/news/_posts/2015-04-13-ruby-openssl-hostname-matching-vulnerability.md @@ -1,6 +1,6 @@ --- layout: news_post -title: "CVE-2015-1855: Ruby OpenSSL Hostname Verification" +title: "CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險" author: "zzak" translator: "Juanito Fatas" tags: security @@ -8,7 +8,7 @@ date: 2015-04-13 12:00:00 +0000 lang: zh_tw --- -Ruby 的 OpenSSL 擴展存在一個安全性風險,原因是主機名稱的匹配過於寬容,可以導致像是 [CVE-2014-1492][CVE-2014-1492] 的錯誤。類似的問題也在 [Python][python-hostname-bug] 當中找到。 +Ruby 的 OpenSSL 擴展存在一個安全性風險,原因是主機名稱的匹配過於寬容,進而導致像是 [CVE-2014-1492][CVE-2014-1492] 的錯誤。類似的問題也在 [Python][python-hostname-bug] 當中找到。 本次風險的 CVE 識別號指派為 [CVE-2015-1855][CVE-2015-1855]。 @@ -18,14 +18,14 @@ Ruby 的 OpenSSL 擴展存在一個安全性風險,原因是主機名稱的匹 在重新檢視 [RFC 6125][RFC-6125] 以及 [RFC 5280][RFC-5280] 之後,我們發現匹配主機名稱,特別是匹配證書的通配符違反了許多規則。 -Ruby 的 OpenSSL 擴展現在提供一個基於字串的匹配演算法,行為更加嚴謹,遵循上述 RFC 所推薦的做法。特別要提的是,一個 subject/SAN 匹配多於一個通配符不再允許了。而這些數值的比對,現在改為不區分大小寫。 +Ruby 的 OpenSSL 擴展現在提供一個基於字串的匹配演算法,行為更加嚴謹,遵循上述 RFC 所推薦的做法。特別要提的是,不再允許一個 subject/SAN 匹配多於一個通配符。而匹配數值的比對,現在改為不區分大小寫。 本次修正會影響 Ruby `OpenSSL::SSL#verify_certificate_identity` 方法的行為。 特別說明: * 主機名稱最左部分只允許一個通配符(wildcard) -* IDNA 名稱現在可以用一個簡單的通配符來匹配(譬如 '\*.domain') +* IDNA 名稱現在可以用一個簡單的通配符來匹配(譬如 `'\*.domain'`) * Subject/SAN 應該限制只能使用 ASCII 字元 所有使用受影響版本的使用者應儘速升級。 @@ -39,7 +39,7 @@ Ruby 的 OpenSSL 擴展現在提供一個基於字串的匹配演算法,行為 ## 致謝 -感謝 Tony Arcieri、Jeffrey Walton 以及 Steffan Ullrich 回報此問題。最初回報此問題的票為 [Bug #9644][Bug-9644],修正補丁 Tony Arcieri 以及 Hiroshi Nakamura。 and patches submitted by Tony Arcieri and Hiroshi Nakamura. +感謝 Tony Arcieri、Jeffrey Walton 以及 Steffan Ullrich 回報此問題。最初回報此問題的票為 [Bug #9644][Bug-9644],修正補丁由 Tony Arcieri 以及 Hiroshi Nakamura 提交。 ## 編輯歷史 From f67f2f062c3b4208cee2bd25a405b188a7480355 Mon Sep 17 00:00:00 2001 From: Juanito Fatas Date: Tue, 14 Apr 2015 03:25:00 +0800 Subject: [PATCH 3/3] Should be 2.0.0-p645 --- zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md b/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md index 298c179eea..38c5a32e38 100644 --- a/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md +++ b/zh_tw/news/_posts/2015-04-13-ruby-2-0-0-p645-released.md @@ -35,7 +35,7 @@ Ruby 2.0.0 處於安全性維護階段,將會在 2016 年 2 月 24 日中止 SHA256: 5e9f8effffe97cba5ef0015feec6e1e5f3bacf6ace78cd1cdf72708cd71cf4ab SHA512: 4503e9d52d2f740ed00437f645cd532044a684b523b8044c0ba4e1b4e69649d2274d5b94fc8273acbbc19d3bb3f15375b93de5140d39f973f2fbb746500633b8 -* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p643.tar.xz) +* [http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz](http://cache.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p645.tar.xz) SIZE: 8295192 bytes SHA1: eee2d0d06de5b22d7542c605b4f2db24b0cb26bc