免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2389 | 回复: 3

Ruby 更新修复了 SSL 中间人漏洞 [复制链接]

论坛徽章:
49
15-16赛季CBA联赛之福建
日期:2016-06-22 16:22:002015年亚洲杯之中国
日期:2015-01-23 16:25:12丑牛
日期:2015-01-20 09:39:23未羊
日期:2015-01-14 23:55:57巳蛇
日期:2015-01-06 18:21:36双鱼座
日期:2015-01-02 22:04:33午马
日期:2014-11-25 09:58:35辰龙
日期:2014-11-18 10:40:07寅虎
日期:2014-11-13 22:47:15申猴
日期:2014-10-22 15:29:50摩羯座
日期:2014-08-27 10:49:43辰龙
日期:2014-08-21 10:47:58
发表于 2013-06-28 09:22 |显示全部楼层
  

Ruby 的 OpenSSL 实现绑定版本被发现一个漏洞 hostname check bypassed. 该漏洞是因为 X509 名称包含 null 字节的错误解析问题,可导致攻击者放置 "www.ruby-lang.org\0example.com" 这样的证书,并被 Ruby 客户端读取到,然后被解析为 "www.ruby-lang.org". 这使得证书验证程序挂起,同时证书被认定为来自 "www.ruby-lang.org". 如果攻击者可以获取一个证书包含了 null 字节的 subjectAltName ,他们就可以使用这个证书来作为受害者和网站之间的中间人。

所有的 Ruby 版本都受此漏洞影响,包括 Ruby 1.8.7 p373 或更早期的版本,Ruby 1.9.3 p447 或更早期版本 以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞,是关于 REXML 实体扩展的 DoS 漏洞。

文章转载自:开源中国社区 [http://www.oschina.net] 本文标题:Ruby 更新修复了 SSL 中间人漏洞 本文地址:http://www.oschina.net/news/41828/ruby-update-fixes-ssl-man-in-the-middle-vulnerability
                        

本文来自ChinaUnix新闻频道,如果查看原文请点:http://news.chinaunix.net/opensource/2013/0628/2824823.shtml

论坛徽章:
5
丑牛
日期:2014-01-21 08:26:26卯兔
日期:2014-03-11 06:37:43天秤座
日期:2014-03-25 08:52:52寅虎
日期:2014-04-19 11:39:48午马
日期:2014-08-06 03:56:58
发表于 2013-07-01 10:45 |显示全部楼层
所有的 Ruby 版本都受此漏洞影响。

论坛徽章:
7
戌狗
日期:2013-12-15 20:43:38技术图书徽章
日期:2014-03-05 01:33:12技术图书徽章
日期:2014-03-15 20:31:17未羊
日期:2014-03-25 23:48:20丑牛
日期:2014-04-07 22:37:44巳蛇
日期:2014-04-11 21:58:0915-16赛季CBA联赛之青岛
日期:2016-03-17 20:36:13
发表于 2013-07-05 02:22 |显示全部楼层
发现一个漏洞~

论坛徽章:
0
发表于 2013-07-08 22:23 |显示全部楼层
被发现一个漏洞。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP