CVE-2021-32066: Уязвимость StartTLS stripping в Net::IMAP
Опубликовал shugo 07-07-2021
Перевел: nakilon
В Net::IMAP обнаружена уязвимость StartTLS stripping. Этой уязвимости присвоен идентификатор CVE-2021-32066. Мы настоятельно рекомендуем обновить Ruby.
net-imap является встроенным гемом Ruby 3.0.1, но т.к. есть трудности с его поставкой, следует обновить Ruby целиком.
Подробности
Net::IMAP не генерирует исключение, когда StartTLS прерывает работу с неизвестным ответом, что позволяет обходить защиту TLS атакой man-in-the-middle, блокируя команду StartTLS. Это называется “атака StartTLS”.
Уязвимые версии
- Ruby 2.6: 2.6.7 и ниже
- Ruby 2.7: 2.7.3 и ниже
- Ruby 3.0: 3.0.1 и ниже
Авторство
Благодарим Alexandr Savca за сообщение о проблеме.
История
- Изначально опубликовано в 2021-07-07 09:00:00 UTC
Последние новости
Вышел Ruby 3.2.10
Вышел Ruby 3.2.10.
Опубликовал hsbt 14-01-2026
Вышел Ruby 4.0.1
Вышел Ruby 4.0.1.
Опубликовал k0kubun 13-01-2026
Вышел Ruby 4.0.0
Мы рады сообщить о выпуске Ruby 4.0.0. Ruby 4.0 представляет «Ruby Box» и «ZJIT», а также добавляет множество улучшений.
Опубликовал naruse 25-12-2025
Новый облик документации Ruby
Вслед за редизайном ruby-lang.org, у нас есть еще новости в честь 30-летия Ruby: docs.ruby-lang.org получил полностью новый облик с Aliki — новым стандартным шаблоном RDoc....
Опубликовал Stan Lo 23-12-2025