CVE-2018-16395: OpenSSL::X509::Name Gleichheitsprüfung funktioniert nicht korrekt

Veröffentlicht von usa am 17. Okt 2018

Die Gleichheitsprüfung von OpenSSL::X509::Name ist in der mit Ruby gebündelten openssl-Erweiterungsbibliothek nicht korrekt. Diese Schwachstelle wurde unter der CVE-Kennung CVE-2018-16395 zugewiesen.

Details

Eine Instanz von OpenSSL::X509::Name enthält Entitäten wie CN, C usw. Zwei Instanzen von OpenSSL::X509::Name sind nur dann gleich, wenn alle Entitäten exakt gleich sind. Es gibt jedoch einen Fehler, dass die Gleichheitsprüfung nicht korrekt ist, wenn der Wert einer Entität des Arguments (rechte Seite) mit dem Wert des Empfängers (linke Seite) beginnt. Wenn also ein bösartiges X.509-Zertifikat mit einem vorhandenen Zertifikat verglichen wird, besteht die Möglichkeit, dass fälschlicherweise angenommen wird, dass sie gleich sind.

Es wird dringend empfohlen, dass Ruby-Benutzer ihre Ruby-Installation so bald wie möglich aktualisieren oder eine der folgenden Problemumgehungen anwenden.

Betroffene Versionen

• Ruby 2.3 Serie: 2.3.7 und früher
• Ruby 2.4 Serie: 2.4.4 und früher
• Ruby 2.5 Serie: 2.5.1 und früher
• Ruby 2.6 Serie: 2.6.0-preview2 und früher
• vor Trunk Revision r65139

Workaround

Das openssl 2.1.2 Gem oder später enthält eine Korrektur für die Schwachstelle. Aktualisieren Sie daher das openssl Gem auf die neueste Version, wenn Sie Ruby 2.4 oder eine neuere Serie verwenden.

gem install openssl -v ">= 2.1.2"

In der Ruby 2.3 Serie können Sie jedoch die gebündelte Version von openssl nicht mit dem openssl Gem überschreiben. Bitte aktualisieren Sie Ihre Ruby-Installation auf die neueste Version.

Danksagung

Vielen Dank an Tyler Eckstein für die Meldung des Problems.

Verlauf

• Ursprünglich veröffentlicht am 2018-10-17 14:00:00 (UTC)
• Erwähnung der behobenen Revision von Trunk am 2018-10-19 00:00:00 (UTC)