CVE-2017-14033:OpenSSL ASN1 解码中的缓冲区欠载漏洞

Ruby 捆绑的 OpenSSL 中存在缓冲区欠载漏洞。此漏洞已分配 CVE 标识符 CVE-2017-14033

详情

如果将恶意字符串传递给 OpenSSL::ASN1decode 方法,则可能导致缓冲区欠载,并可能导致 Ruby 解释器崩溃。

所有运行受影响版本的用户应立即升级或使用其中一种解决方法。

受影响版本

  • Ruby 2.2 系列:2.2.7 及更早版本
  • Ruby 2.3 系列:2.3.4 及更早版本
  • Ruby 2.4 系列:2.4.1 及更早版本
  • trunk 修订版本 56946 之前的版本

解决方法

OpenSSL 库也以 gem 的形式分发。如果您无法升级 Ruby 本身,请安装版本高于 2.0.0 的 OpenSSL gem。但是,此解决方法仅适用于 Ruby 2.4 系列。当使用 Ruby 2.2 系列或 2.3 系列时,gem 不会覆盖捆绑的 OpenSSL 版本。

致谢

感谢 asac 报告此问题。

历史记录

  • 最初发布于 2017-09-14 12:00:00 (UTC)