CVE-2021-32066: Net::IMAP 中存在 StartTLS 剥离漏洞
由 shugo 发布于 2021年7月7日
在 Net::IMAP 中发现了一个 StartTLS 剥离漏洞。该漏洞已分配 CVE 标识符 CVE-2021-32066。我们强烈建议升级 Ruby。
net-imap 是 Ruby 3.0.1 的默认 gem,但存在打包问题,请升级 Ruby 本身。
详情
当 StartTLS 因未知响应而失败时,Net::IMAP 不会引发异常,这可能允许中间人攻击者通过利用客户端和注册表之间的网络位置来阻止 StartTLS 命令,从而绕过 TLS 保护,也称为“StartTLS 降级攻击”。
受影响的版本
- Ruby 2.6 系列:2.6.7 及更早版本
- Ruby 2.7 系列:2.7.3 及更早版本
- Ruby 3.0 系列:3.0.1 及更早版本
致谢
感谢 Alexandr Savca 报告此问题。
历史
- 首次发布于 2021-07-07 09:00:00 UTC
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日