Ruby 更新修复了 SSL 中间人漏洞

Ruby 的 OpenSSL 实现绑定版本被发现一个漏洞 hostname check bypassed. 该漏洞是因为 X509 名称包含 null 字节的错误解析问题，可导致攻击者放置 "www.ruby-lang.orgexample.com" 这样的证书，并被 Ruby 客户端读取到，然后被解析为 "www.ruby-lang.org". 这使得证书验证程序挂起，同时证书被认定为来自 "www.ruby-lang.org". 如果攻击者可以获取一个证书包含了 null 字节的 subjectAltName ，他们就可以使用这个证书来作为受害者和网站之间的中间人。所有的 Ruby 版本都受此漏洞影响，包括 Ruby 1.8.7 p373 或更早期的版本，Ruby 1.9.3 p447 或更早期版本以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞，是关于 REXML 实体扩展的 DoS 漏洞。黑客窃取 Opera 签名的数字证书RMS谈论Windows的后门相关资讯 Ruby漏洞

Ruby "dl/handle.c"安全限制绕过漏（08/21/2015 13:45:20）
Ruby "string.c"远程内存破坏漏洞（05/30/2014 15:43:26）
Ruby 1.9 现 DoS 漏洞，紧急发布 1 （11/12/2012 20:24:55）

Ruby "pack.c"缓冲区溢出漏洞（07/15/2014 17:14:31）
Ruby浮点解析堆缓冲区溢出漏洞（11/25/2013 16:19:00）
Ruby哈希冲突拒绝服务漏洞（12/30/2011 15:22:51）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款