Ditulis oleh usa tanggal 2017-09-14
Diterjemahkan oleh meisyal
Ada sebuah kerentanan buffer underrun pada OpenSSL yang di-bundle oleh Ruby. Kerentanan ini telah ditetapkan sebagai CVE-2017-14033.
Detail
Jika sebuah malicious string melewati method decode
dari OpenSSL:ASN1
, buffer underrun bisa jadi penyebab dan penerjemah Ruby crash.
Semua pengguna yang sedang menggunakan rilis yang terkena imbas ini sebaiknya segera memperbarui atau menggunakan solusi yang ada.
Versi Terimbas
- rangkaian Ruby 2.2: 2.2.7 dan sebelumnya
- rangkaian Ruby 2.3: 2.3.4 dan sebelumnya
- rangkaian Ruby 2.4: 2.4.1 dan sebelumnya
- sebelum revisi trunk 56946
Solusi
Pustaka OpenSSL juga didistribusikan dalam sebuah gem. Jika Anda tidak dapat memperbarui Ruby itu sendiri, pasang gem lebih baru dari versi 2.0.0. Solusi ini hanya berlaku untuk rangkaian Ruby 2.4. Saat menggunakan rangkaian Ruby 2.2 dan 2.3, gem tidak dapat menimpa versi OpenSSL yang telah ter-bundle.
Rujukan
Terima kasih kepada asac yang telah melaporkan masalah ini.
Riwayat
- Semula dipublikasikan pada 2017-09-14 12:00:00 (UTC)