发布者:usa,于 2017 年 9 月 14 日
Ruby 捆绑的 OpenSSL 中存在缓冲区欠载漏洞。此漏洞已分配 CVE 标识符 CVE-2017-14033。
详情
如果将恶意字符串传递给 OpenSSL::ASN1
的 decode
方法,则可能导致缓冲区欠载,并可能导致 Ruby 解释器崩溃。
所有运行受影响版本的用户应立即升级或使用其中一种解决方法。
受影响版本
- Ruby 2.2 系列:2.2.7 及更早版本
- Ruby 2.3 系列:2.3.4 及更早版本
- Ruby 2.4 系列:2.4.1 及更早版本
- trunk 修订版本 56946 之前的版本
解决方法
OpenSSL 库也以 gem 的形式分发。如果您无法升级 Ruby 本身,请安装版本高于 2.0.0 的 OpenSSL gem。但是,此解决方法仅适用于 Ruby 2.4 系列。当使用 Ruby 2.2 系列或 2.3 系列时,gem 不会覆盖捆绑的 OpenSSL 版本。
致谢
感谢 asac 报告此问题。
历史记录
- 最初发布于 2017-09-14 12:00:00 (UTC)