Ditulis oleh shugo tanggal 2021-07-07
Diterjemahkan oleh meisyal
Sebuah kerentanan StartTLS stripping telah ditemukan pada Net::IMAP. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2021-32066. Kami sangat merekomendasikan untuk memperbarui Ruby.
net-imap adalah sebuah default gem pada Ruby 3.0.1, tetapi gem tersebut memiliki masalah pengemasan. Sehingga, mohon perbarui Ruby.
Detail
Net::IMAP tidak akan mengeluarkan sebuah exception jika StartTLS gagal dengan sebuah respons yang tidak dikenal, yang mana mungkin memperbolehkan penyerang man-in-the-middle untuk melewati perlindungan TLS dengan memanfaatkan posisi jaringan antara client dan registry untuk mengeblok perintah StartTLS, alias “StartTLS stripping attack.”
Versi Terimbas
- Rangkaian Ruby 2.6: 2.6.7 dan sebelumnya
- Rangkaian Ruby 2.7: 2.7.3 dan sebelumnya
- Rangkaian Ruby 3.0: 3.0.1 dan sebelumnya
Rujukan
Terima kasih kepada Alexandr Savca yang telah melaporkan kerentanan ini.
Riwayat
- Semula dipublikasikan pada 2021-07-07 09:00:00 UTC