CVE-2017-14033: OpenSSL ASN1 解碼時緩衝區掏空的安全性風險

Ruby 內建的 OpenSSL 有緩衝區掏空的安全性風險,此風險的 CVE 識別號已被指派為 CVE-2017-14033

詳細

如果對 OpenSSL::ASN1decode 方法傳遞惡意字串,緩衝區掏空可能會造成 Ruby 直譯器崩潰。

所有正在使用受影響版本的使用者應立即升級或是採用應急辦法。

受影響版本

  • Ruby 2.2 系列: 2.2.7 以及之前的版本
  • Ruby 2.3 系列: 2.3.4 以及之前的版本
  • Ruby 2.4 系列: 2.4.1 以及之前的版本
  • trunk revision 56946 之前的版本

應急辦法

OpenSSL 同樣的也使用 gem 做發布,如果你無法升級 Ruby 本身,請安裝 2.0.0 版本之後的 OpenSSL。 但上述應急方法僅適用於 Ruby 2.4 系列,如果使用 Ruby 2.2 系列或是 2.3 系列,gem 並不會複寫內建的 OpenSSL 版本。

致謝

感謝 asac 回報此問題。

歷史

  • 初次發佈於 2017-09-14 12:00:00 (UTC)