CVE-2015-1855: Ruby OpenSSL Hostname-Verifizierung

Gepostet von zzak am 13 Apr 2015

Rubys OpenSSL-Erweiterung weist eine Schwachstelle auf, die auf übermäßig permissives Matching von Hostnamen zurückzuführen ist und zu ähnlichen Fehlern wie CVE-2014-1492 führen kann. Ähnliche Probleme wurden in Python gefunden.

Diese Schwachstelle wurde mit der CVE-ID CVE-2015-1855 ausgezeichnet.

Wir empfehlen dringend, Ruby zu aktualisieren.

Details

Nach Überprüfung von RFC 6125 und RFC 5280 haben wir mehrere Verstöße bei der Übereinstimmung von Hostnamen und insbesondere bei Wildcard-Zertifikaten festgestellt.

Rubys OpenSSL-Erweiterung bietet nun einen stringbasierten Abgleichalgorithmus, der ein * strengeres* Verhalten aufweist, wie von diesen RFCs empfohlen. Insbesondere ist der Abgleich von mehr als einem Wildcard-Zeichen pro Subjekt/SAN nicht mehr erlaubt. Außerdem ist der Vergleich dieser Werte jetzt case-insensitiv.

Diese Änderung wirkt sich auf das Verhalten von Rubys OpenSSL::SSL#verify_certificate_identity aus.

Speziell:

• Nur ein Sternchen-Zeichen (Wildcard) im linken Teil des Hostnamens ist erlaubt.
• IDNA-Namen können jetzt nur mit einem einfachen Wildcard (z. B. '*.domain') abgeglichen werden.
• Subjekt/SAN sollte auf ASCII-Zeichen beschränkt sein.

Alle Benutzer, die eine betroffene Version verwenden, sollten sofort ein Upgrade durchführen.

Betroffene Versionen

• Alle Ruby 2.0 Versionen vor Ruby 2.0.0 patchlevel 645
• Alle Ruby 2.1 Versionen vor Ruby 2.1.6
• Alle Ruby 2.2 Versionen vor Ruby 2.2.2
• vor Trunk-Revision 50292

Credits

Vielen Dank an Tony Arcieri, Jeffrey Walton und Steffan Ullrich für die Meldung dieses Problems. Ursprünglich gemeldet als Bug #9644, mit Patches von Tony Arcieri und Hiroshi Nakamura.

Verlauf

• Ursprünglich veröffentlicht am 2015-04-13 12:00:00 (UTC)