CVE-2017-14033: Puffer-Unterlauf-Schwachstelle in OpenSSL ASN1-Dekodierung

Gepostet von usa am 14. Sep 2017

Es gibt eine Pufferüberlauf-Schwachstelle in OpenSSL, das von Ruby gebündelt wird. Dieser Schwachstelle wurde die CVE-Kennung CVE-2017-14033 zugewiesen.

Details

Wenn ein bösartiger String an die decode Methode von OpenSSL::ASN1 übergeben wird, kann ein Buffer-Underflow verursacht und der Ruby-Interpreter zum Absturz gebracht werden.

Alle Benutzer, die eine betroffene Version ausführen, sollten entweder ein Upgrade durchführen oder umgehend eine der Problemumgehungen verwenden.

Betroffene Versionen

• Ruby 2.2-Serie: 2.2.7 und früher
• Ruby 2.3-Serie: 2.3.4 und früher
• Ruby 2.4-Serie: 2.4.1 und früher
• vor Trunk Revision 56946

Workaround

Die OpenSSL-Bibliothek wird auch als Gem vertrieben. Wenn Sie Ruby selbst nicht aktualisieren können, installieren Sie das OpenSSL-Gem neuer als Version 2.0.0. Diese Problemumgehung ist jedoch nur mit der Ruby 2.4-Serie verfügbar. Bei Verwendung der Ruby 2.2-Serie oder 2.3-Serie überschreibt das Gem die gebündelte Version von OpenSSL nicht.

Danksagung

Vielen Dank an asac für die Meldung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2017-09-14 12:00:00 (UTC)