Ditulis oleh usa tanggal 2018-10-17
Diterjemahkan oleh meisyal
Pemeriksaan kesetaraan dari OpenSSL::X509::Name tidak berfungsi dengan benar
pada ekstensi pustaka openssl yang di-bundle dengan Ruby.
Detail
Sebuah objek OpenSSL::X509::Name berisi entitas seperti CN, C, dan sebagainya.
Beberapa dua objek OpenSSL::X509::Name hanya setara jika semua entitas
sama persis. Namun demikian, ada sebuah bug pemeriksaan kesetaraan yang tidak
benar jika nilai dari sebuah argumen entitas (sisi kanan) mulai dengan nilai
dari penerima (sisi kiri). Sehingga, jika sebuah sertifikat X.509 berbahaya
lewat untuk dibandingkan dengan sebuah sertifikat yang sudah ada, ada
kemungkinan kesalahan penilaian jika keduanya sama.
Pengguna Ruby sangat direkomendasikan untuk memperbarui Ruby atau ambil satu solusi berikut segera mungkin.
Versi Terimbas
- Rangkaian Ruby 2.3: 2.3.7 dan sebelumnya
- Rangkaian Ruby 2.4: 2.4.4 dan sebelumnya
- Rangkaian Ruby 2.5: 2.5.1 dan sebelumnya
- Rangkaian Ruby 2.6: 2.6.0-preview2 dan sebelumnya
- sebelum revisi trunk r65139
Solusi
gem openssl 2.1.2 atau setelahnya berisi perbaikan dari kerentanan ini, sehingga perbarui gem openssl ke versi terbaru jika Anda sedang menggunakan Ruby 2.4 atau rangkaian setelahnya.
gem install openssl -v ">= 2.1.2"
Namun, pada rangkaian Ruby 2.3, Anda tidak dapat mengganti versi bundled dari openssl dengan gem openssl. Perbarui Ruby Anda ke versi terbaru.
Rujukan
Terima kasih kepada Tyler Eckstein atas laporan masalah ini.
Riwayat
- Semula dipublikasikan pada 2018-10-17 14:00:00 (UTC)
- Sebut perbaikan revisi dari trunk pada 2018-10-19 00:00:00 UTC