Ruby 更新修复了 SSL 中间人漏洞
2014-01-15 14:41
302 查看
Ruby 的 OpenSSL 实现绑定版本被发现一个漏洞 hostname check bypassed. 该漏洞是因为 X509 名称包含 null 字节的错误解析问题,可导致攻击者放置 "
如果攻击者可以获取一个证书包含了 null 字节的
所有的 Ruby 版本都受此漏洞影响,包括 Ruby 1.8.7 p373 或更早期的版本,Ruby 1.9.3 p447 或更早期版本 以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞,是关于 REXML 实体扩展的
DoS 漏洞。
www.ruby-lang.org\0example.com" 这样的证书,并被 Ruby 客户端读取到,然后被解析为 "
www.ruby-lang.org". 这使得证书验证程序挂起,同时证书被认定为来自 "
www.ruby-lang.org".
如果攻击者可以获取一个证书包含了 null 字节的
subjectAltName,他们就可以使用这个证书来作为受害者和网站之间的中间人。
所有的 Ruby 版本都受此漏洞影响,包括 Ruby 1.8.7 p373 或更早期的版本,Ruby 1.9.3 p447 或更早期版本 以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞,是关于 REXML 实体扩展的
DoS 漏洞。
相关文章推荐
- java或者jsp中修复会话标识未更新漏洞
- 服务器SSL不安全漏洞修复方案
- 苹果修复iOS 6测试版中泄露软件更新信息的漏洞
- 游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
- 幽灵漏洞(GHOST)影响大量Linux操作系统及其发行版(更新修复方案)
- Win10更新补丁:修复IE浏览器Flash Player漏洞
- SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
- Apple Mac OS X 2008-001更新修复多个安全漏洞
- SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议
- OpenSSH更新至7.4(漏洞扫描bug修复)
- Clientless SSL ***的漏洞预警 遭遇中间人***
- 微软发布紧急更新:修复Flash高危漏洞
- 服务器SSL不安全漏洞修复方案
- Linux 之父恶评 Intel 漏洞修复补丁:完全就是垃圾!Intel:先别更新!
- SSL 3.0 Poodle漏洞修复方法
- OpenSSL 发布多个更新版本,修复 DoS 漏洞
- 明日Win7/Win8不仅补漏洞、功能修复要更新了
- 【修复php漏洞】编译安装的方式更新ubuntu上的php-fpm
- 更新sessionId修复漏洞攻击
- SSL 3.0 安全漏洞修复方法