CVE-2017-14033: Lỗ hổng tràn bộ đệm dưới trong giải mã OpenSSL ASN1

Đăng bởi usa vào 14 Sep 2017

Có một lỗ hổng tràn bộ đệm dưới (buffer underrun) trong OpenSSL được đi kèm với Ruby. Lỗ hổng này đã được gán mã định danh CVE CVE-2017-14033.

Chi tiết

Nếu một chuỗi độc hại được truyền vào phương thức decode của OpenSSL::ASN1, có thể gây ra tràn bộ đệm dưới và trình thông dịch Ruby có thể bị sập.

Tất cả người dùng đang chạy phiên bản bị ảnh hưởng nên nâng cấp hoặc sử dụng một trong các biện pháp khắc phục ngay lập tức.

Các phiên bản bị ảnh hưởng

• Ruby nhánh 2.2: 2.2.7 và trước đó
• Ruby nhánh 2.3: 2.3.4 và trước đó
• Ruby nhánh 2.4: 2.4.1 và trước đó
• trước trunk revision 56946

Biện pháp khắc phục

Thư viện OpenSSL cũng được phân phối dưới dạng gem. Nếu bạn không thể nâng cấp Ruby, hãy cài đặt gem OpenSSL phiên bản mới hơn 2.0.0. Tuy nhiên, biện pháp khắc phục này chỉ khả dụng với Ruby nhánh 2.4. Khi sử dụng Ruby nhánh 2.2 hoặc 2.3, gem không ghi đè phiên bản OpenSSL đi kèm.

Ghi công

Cảm ơn asac đã báo cáo vấn đề này.

Lịch sử

• Được công bố lần đầu vào 2017-09-14 12:00:00 (UTC)