CVE-2018-16395: Kiểm tra bằng nhau của OpenSSL::X509::Name không hoạt động đúng

Đăng bởi usa vào 17 Oct 2018

Kiểm tra bằng nhau của OpenSSL::X509::Name không chính xác trong thư viện mở rộng openssl đi kèm với Ruby. Lỗ hổng này đã được gán mã nhận dạng CVE CVE-2018-16395.

Chi tiết

Một thể hiện của OpenSSL::X509::Name chứa các thực thể như CN, C, v.v. Hai thể hiện của OpenSSL::X509::Name chỉ bằng nhau khi tất cả các thực thể đều hoàn toàn bằng nhau. Tuy nhiên, có một lỗi khiến kiểm tra bằng nhau không chính xác nếu giá trị của một thực thể trong tham số (bên phải) bắt đầu bằng giá trị của receiver (bên trái). Vì vậy, nếu một chứng chỉ X.509 độc hại được truyền vào để so sánh với một chứng chỉ hiện có, có khả năng bị đánh giá sai rằng chúng bằng nhau.

Người dùng Ruby được khuyến cáo nâng cấp bản cài đặt Ruby của bạn hoặc áp dụng một trong các biện pháp khắc phục sau đây càng sớm càng tốt.

Phiên bản bị ảnh hưởng

• Dòng Ruby 2.3: 2.3.7 và trước đó
• Dòng Ruby 2.4: 2.4.4 và trước đó
• Dòng Ruby 2.5: 2.5.1 và trước đó
• Dòng Ruby 2.6: 2.6.0-preview2 và trước đó
• trước trunk revision r65139

Biện pháp khắc phục

Gem openssl 2.1.2 hoặc mới hơn bao gồm bản sửa cho lỗ hổng này, vì vậy hãy nâng cấp gem openssl lên phiên bản mới nhất nếu bạn đang sử dụng Ruby 2.4 hoặc dòng mới hơn.

gem install openssl -v ">= 2.1.2"

Tuy nhiên, trong dòng Ruby 2.3, bạn không thể ghi đè phiên bản openssl đi kèm bằng gem openssl. Vui lòng nâng cấp bản cài đặt Ruby của bạn lên phiên bản mới nhất.

Ghi nhận

Cảm ơn Tyler Eckstein đã báo cáo vấn đề này.

Lịch sử

• Được công bố lần đầu vào 2018-10-17 14:00:00 (UTC)
• Đề cập bản sửa của trunk revision vào 2018-10-19 00:00:00 (UTC)