CVE-2021-32066: Vulnerabilidad de recortado de StartTLS en Net::IMAP
Publicado por shugo el 2021-07-07
Traducción de vtamara
Se descubrió una vulnerabilidad de recortado de StartTLS en Net::IMAP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-32066. Recomendamos enfáticamente actualizar Ruby.
net-imap es una gema predeterminada en Ruby 3.0.1 pero tiene un problema de empaquetado, así que por favor actualice Ruby completo.
Detalles
Net::IMAP no lanzan una excepción cuando falla StartTLS por una respuesta desconocida, lo que puede permitir a un atacante intermediario sobrepasar la proteccíon TLS aprovechando la posición de su red entre el cliente y el registro para bloquear la orden StartTLS, es decir un “ataque por recorte de StartTLS.”
Versiones afectadas
- Series de Ruby 2.6: 2.6.7 y anteriores
- Series de Ruby 2.7: 2.7.3 y anteriores
- Serires de Ruby 3.0: 3.0.1 y anteriores
Creditos
Agradecimientos a Alexandr Savca por reportar este problema.
Historia
- Publicado originalmente el 2021-07-07 09:00:00 UTC
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23