Вразливість Net::HTTPS

Опублікував Shugo Maeda 04-10-2007
Переклав: Andrii Furmanets

Повідомлено про вразливість у бібліотеці net/https.

Детальна інформація повинна бути знайдена в оригінальній консультації: <URL:http://www.isecpartners.com/advisories/2007-006-rubyssl.txt>

Вплив

Вразливість існує в методі connect у файлі http.rb, який не викликає post_connection_check після того, як SSL з’єднання було узгоджено. Оскільки CN сертифіката сервера не перевіряється проти запитуваного DNS імені, зловмисник може видавати себе за цільовий сервер в SSL з’єднанні. Переваги цілісності та конфіденційності SSL тим самим усуваються.

Вразливі версії

Серія 1.8

• 1.8.4 та всі попередні версії
• 1.8.5-p113 та всі попередні версії
• 1.8.6-p110 та всі попередні версії

Версія розробки (серія 1.9)

Всі версії до 2006-09-23

Рішення

Серія 1.8

Будь ласка, оновіться до 1.8.6-p111 або 1.8.5-p114.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p111.tar.gz>
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p114.tar.gz>

Потім ви повинні використовувати Net::HTTP#enable_post_connection_check= для увімкнення post_connection_check.

http = Net::HTTP.new(host, 443)
http.use_ssl = true
http.enable_post_connection_check = true
http.verify_mode = OpenSSL::SSL::VERIFY_PEER
store = OpenSSL::X509::Store.new
store.set_default_paths
http.cert_store = store
http.start {
  response = http.get("/")
}

Будь ласка, зверніть увагу, що пакет, який виправляє цю слабкість, може вже бути доступний через ваше програмне забезпечення управління пакетами.

Версія розробки (серія 1.9)

Будь ласка, оновіть ваш Ruby до версії після 2006-09-23. Значення за замовчуванням Net::HTTP#enable_post_connection_check є true в Ruby 1.9.

Зміни

• 2007-10-04 16:30 +09:00 додано опис для enable_post_connection_check до `Рішення'.