CVE-2017-14033: Pufferunterlauf-Problem bei Dekodierung von OpenSSL-ASN1

Geschrieben von usa am 14.9.2017
Übersetzt von Marvin Gülker

Es gibt ein Sicherheitsproblem mit einem Pufferunterlauf in der in Ruby enthaltenen OpenSSL-Bibliothek, dem die CVE-Nummer CVE-2017-14033 zugewiesen worden ist.

Details

Wenn ein böswilliger String an die Methode decode von OpenSSL::ASN1 übergeben wird, kann ein Pufferunterlauf verursacht werden, der zum Absturz des Ruby-Interpreters führen kann.

Alle Nutzer einer betroffenen Version sollten entweder aktualisieren oder umgehend einen der folgenden Workarounds anwenden.

Betroffene Versionen

• 2.2er-Serie: 2.2.7 und früher
• 2.3er-Serie: 2.3.4 und früher
• 2.4er-Serie: 2.4.1 und früher
• Trunk vor Revision 56946

Workaround

Die OpenSSL-Bibliothek wird auch als Gem verteilt. Wenn Sie Ruby selbst nicht aktualisieren können, installieren Sie das OpenSSL-Gem in einer Version neuer als 2.0.0. Dieser Workaround funktioniert allerdings nur mit der 2.4er-Serie von Ruby, denn bei der 2.2er- und 2.3er-Serie hat das Gem keinen Vorrang vor der mitgelieferten Version von OpenSSL.

Danksagung

Dank geht an asac für die Meldung des Problems.

Historie

• Erstmals veröffentlicht am 2017-09-14 12:00:00 (UTC)