CVE-2017-14033: OpenSSL ASN1 解码时缓冲区欠载缺陷

由 usa 发表于 2017-09-14
翻译： Delton Ding

Ruby 内置的 OpenSSL 存在一个缓冲区欠载缺陷。CVE 对此缺陷提供了识别号 CVE-2017-14033。

细节

当向 OpenSSL::ASN1 的 decode 方法传递恶意字符串时，缓冲区可能欠载进而引发 Ruby 解释器崩溃。

所有正在使用受影响版本的用户应立即升级或使用下述临时解决方法。

受影响的版本

• Ruby 2.2 系列：2.2.7 及更早版本
• Ruby 2.3 系列：2.3.4 及更早版本
• Ruby 2.4 系列：2.4.1 及更早版本
• SVN 仓库中早于 56946 的全部版本

临时解决方法

OpenSSL 库也以 gem 的形式分发。如果你不能升级 Ruby 本身，可以将 OpenSSL gem 升级至 2.0.0 以后的版本。但这个临时解决方案只针对 2.4 系列的 Ruby。当您正在使用的是 2.2 或 2.3 系列时，gem 不能覆盖自带的 OpenSSL 版本。

发布记

感谢 asac 报告了这一问题。

历史

• 最早发布于 2017-09-14 12:00:00 (UTC)