由 shugo 发布于 2021 年 7 月 7 日
在 Net::IMAP 中发现了一个 StartTLS 剥离漏洞。此漏洞已被分配 CVE 标识符 CVE-2021-32066。我们强烈建议升级 Ruby。
net-imap 是 Ruby 3.0.1 中的默认 gem,但它存在打包问题,所以请升级 Ruby 本身。
详细信息
当 StartTLS 因未知响应而失败时,Net::IMAP 不会引发异常,这可能允许中间人攻击者通过利用客户端和注册表之间的网络位置来阻止 StartTLS 命令,从而绕过 TLS 保护,这被称为“StartTLS 剥离攻击”。
受影响的版本
- Ruby 2.6 系列:2.6.7 及更早版本
- Ruby 2.7 系列:2.7.3 及更早版本
- Ruby 3.0 系列:3.0.1 及更早版本
鸣谢
感谢 Alexandr Savca 报告此问题。
历史
- 最初发布于 2021-07-07 09:00:00 UTC