shugo tarafından 07.07.2021 tarihinde gönderildi
Çeviri: ismailarilik
Bir StartTLS çıkarma zaafiyeti Net::IMAP’te keşfedildi. Bu zaafiyet CVE-2021-32066 CVE belirtecine atanmıştır. Ruby’yi güncellemenizi şiddetle tavsiye ederiz.
net-imap, Ruby 3.0.1’de varsayılan bir gem fakat paketleme sorunlarına sahip, yani lütfen Ruby’nin kendisini güncelleyin.
Ayrıntılar
Net::IMAP, StartTLS başarısız olduğunda bir istisna yükseltmemektedir, ki bu durumda ortadaki-adam saldırganları istemci ile kayıt arasındaki konuma kaldıraç uygulayarak StartTLS komutunu bloklayabilir ve TLS korumalarını atlatabilir. İşte bu “StartTLS çıkarma saldırısı” adını almaktadır.
Etkilenen Sürümler
- Ruby 2.6 serisi: 2.6.7 ve öncesi
- Ruby 2.7 serisi: 2.7.3 ve öncesi
- Ruby 3.0 serisi: 3.0.1 ve öncesi
Teşekkürler
Alexandr Savca‘ya bu zaafiyeti bildirdiği için teşekkür ederiz.
Geçmiş
- İlk olarak 2021-07-07 09:00:00 UTC tarihinde yayınlandı.