<div dir="ltr"><div>Bad news. You <em>have</em> to upgrade Rebar3. We just noticed that SSL validation had been partially disabled for <em>years</em>.</div><div><br></div><div>I've written up all the details at <a href="https://ferd.ca/you-ve-got-to-upgrade-rebar3.html">https://ferd.ca/you-ve-got-to-upgrade-rebar3.html</a></div><div><br></div><div>but the TL:DR; is:</div><div><br></div><div>- Rebar3 didn't properly check TLS certs for hex packages since version 3.7.0</div><div>- Non-hex dependencies are fine</div><div>- We don't think there's anybody exploiting it in the wild and it should be rather difficult</div><div>- I've had time to cut releases for OTP-19 to 24 (two releases) and nightly builds are up to date</div><div>- Older versions than 3.14 on OTP prior to 19 have no clear update path without someone having time to backport the patch further in the past.</div><div><br></div><div>Sorry about that.</div><div>- Fred.<br></div></div>