CVE-2017-14033: Вразливість недоповнення буфера в декодуванні OpenSSL ASN1

Опублікував usa 14-09-2017
Переклав: Andrii Furmanets

Є вразливість недоповнення буфера в OpenSSL, включеному в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2017-14033.

Деталі

Якщо зловмисний рядок передано до методу decode OpenSSL::ASN1, може виникнути недоповнення буфера та інтерпретатор Ruby може аварійно завершити роботу.

Всі користувачі, які запускають зачеплений випуск, повинні або оновитися, або використовувати один з обхідних шляхів негайно.

Зачеплені версії

• Серія Ruby 2.2: 2.2.7 та раніше
• Серія Ruby 2.3: 2.3.4 та раніше
• Серія Ruby 2.4: 2.4.1 та раніше
• до ревізії trunk 56946

Обхідний шлях

Бібліотека OpenSSL також поширюється як gem. Якщо ви не можете оновити Ruby, встановіть gem OpenSSL новіший за версію 2.0.0. Але цей обхідний шлях доступний лише з серією Ruby 2.4. При використанні серії Ruby 2.2 або 2.3, gem не перевизначає включену версію OpenSSL.

Подяка

Дякуємо asac за повідомлення про цю проблему.

Історія

• Спочатку опубліковано 2017-09-14 12:00:00 (UTC)