论坛徽章:: 49

电梯直达

1楼 [收藏(0)] [报告]

发表于 2013-06-28 09:22 |只看该作者 |倒序浏览

　　

Ruby 的 OpenSSL 实现绑定版本被发现一个漏洞 hostname check bypassed. 该漏洞是因为 X509 名称包含 null 字节的错误解析问题，可导致攻击者放置 "www.ruby-lang.org\0example.com" 这样的证书，并被 Ruby 客户端读取到，然后被解析为 "www.ruby-lang.org". 这使得证书验证程序挂起，同时证书被认定为来自 "www.ruby-lang.org". 如果攻击者可以获取一个证书包含了 null 字节的 subjectAltName ，他们就可以使用这个证书来作为受害者和网站之间的中间人。

所有的 Ruby 版本都受此漏洞影响，包括 Ruby 1.8.7 p373 或更早期的版本，Ruby 1.9.3 p447 或更早期版本以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞，是关于 REXML 实体扩展的 DoS 漏洞。

文章转载自：开源中国社区 [http://www.oschina.net] 本文标题：Ruby 更新修复了 SSL 中间人漏洞本文地址：http://www.oschina.net/news/41828/ruby-update-fixes-ssl-man-in-the-middle-vulnerability

本文来自ChinaUnix新闻频道，如果查看原文请点：http://news.chinaunix.net/opensource/2013/0628/2824823.shtml