CVE-2017-14033: OpenSSL ASN1 解码中的缓冲区溢出漏洞

由 usa 于 2017 年 9 月 14 日发布

Ruby 自带的 OpenSSL 中存在缓冲区下溢漏洞。此漏洞已被分配 CVE 标识符 CVE-2017-14033。

详情

如果一个恶意字符串被传递给 OpenSSL::ASN1 的 decode 方法，可能会导致缓冲区下溢，并可能导致 Ruby 解释器崩溃。

所有运行受影响版本的用户都应立即升级或使用以下任一解决方法。

受影响的版本

• Ruby 2.2 系列：2.2.7 及更早版本
• Ruby 2.3 系列：2.3.4 及更早版本
• Ruby 2.4 系列：2.4.1 及更早版本
• 在 trunk revision 56946 之前

变通方法

OpenSSL 库也作为 gem 分发。如果您无法升级 Ruby 本身，请安装版本号大于 2.0.0 的 OpenSSL gem。但此解决方法仅适用于 Ruby 2.4 系列。当使用 Ruby 2.2 系列或 2.3 系列时，gem 不会覆盖 OpenSSL 的内置版本。

致谢

感谢 asac 报告此问题。

历史

• 最初发布于 2017-09-14 12:00:00 (UTC)