CVE-2015-1855: Lỗ hổng xác minh hostname trong Ruby OpenSSL

Đăng bởi zzak vào 13 Apr 2015

Extension OpenSSL của Ruby có lỗ hổng do việc khớp hostname quá lỏng lẻo, có thể dẫn đến các lỗi tương tự như CVE-2014-1492. Các vấn đề tương tự đã được tìm thấy trong Python.

Lỗ hổng này đã được gán mã định danh CVE CVE-2015-1855.

Chúng tôi khuyến nghị bạn nâng cấp Ruby ngay lập tức.

Chi tiết

Sau khi xem xét RFC 6125 và RFC 5280, chúng tôi phát hiện nhiều vi phạm trong việc khớp hostname và đặc biệt là chứng chỉ wildcard.

Extension OpenSSL của Ruby giờ đây sẽ cung cấp thuật toán khớp dựa trên chuỗi tuân theo hành vi nghiêm ngặt hơn, theo khuyến nghị của các RFC này. Cụ thể, việc khớp nhiều hơn một wildcard mỗi subject/SAN không còn được phép. Ngoài ra, việc so sánh các giá trị này giờ đây không phân biệt chữ hoa chữ thường.

Thay đổi này sẽ ảnh hưởng đến hành vi của OpenSSL::SSL#verify_certificate_identity trong Ruby.

Cụ thể:

• Chỉ cho phép một ký tự wildcard trong phần ngoài cùng bên trái của hostname.
• Tên IDNA giờ đây chỉ có thể được khớp bằng wildcard đơn giản (ví dụ: ‘*.domain’).
• Subject/SAN chỉ nên giới hạn ở các ký tự ASCII.

Tất cả người dùng đang chạy phiên bản bị ảnh hưởng nên nâng cấp ngay lập tức.

Các phiên bản bị ảnh hưởng

• Tất cả các phiên bản Ruby 2.0 trước Ruby 2.0.0 patchlevel 645
• Tất cả các phiên bản Ruby 2.1 trước Ruby 2.1.6
• Tất cả các phiên bản Ruby 2.2 trước Ruby 2.2.2
• trước trunk revision 50292

Ghi nhận

Cảm ơn Tony Arcieri, Jeffrey Walton và Steffan Ullrich đã báo cáo vấn đề này. Ban đầu được báo cáo là Bug #9644, và các bản vá được gửi bởi Tony Arcieri và Hiroshi Nakamura.

Lịch sử

• Được công bố lần đầu vào 2015-04-13 12:00:00 (UTC)