Geschrieben von usa am 14.9.2017
Übersetzt von Marvin Gülker
Es gibt ein Sicherheitsproblem mit einem Pufferunterlauf in der in Ruby enthaltenen OpenSSL-Bibliothek, dem die CVE-Nummer CVE-2017-14033 zugewiesen worden ist.
Details
Wenn ein böswilliger String an die Methode decode
von
OpenSSL::ASN1
übergeben wird, kann ein Pufferunterlauf verursacht
werden, der zum Absturz des Ruby-Interpreters führen kann.
Alle Nutzer einer betroffenen Version sollten entweder aktualisieren oder umgehend einen der folgenden Workarounds anwenden.
Betroffene Versionen
- 2.2er-Serie: 2.2.7 und früher
- 2.3er-Serie: 2.3.4 und früher
- 2.4er-Serie: 2.4.1 und früher
- Trunk vor Revision 56946
Workaround
Die OpenSSL-Bibliothek wird auch als Gem verteilt. Wenn Sie Ruby selbst nicht aktualisieren können, installieren Sie das OpenSSL-Gem in einer Version neuer als 2.0.0. Dieser Workaround funktioniert allerdings nur mit der 2.4er-Serie von Ruby, denn bei der 2.2er- und 2.3er-Serie hat das Gem keinen Vorrang vor der mitgelieferten Version von OpenSSL.
Danksagung
Dank geht an asac für die Meldung des Problems.
Historie
- Erstmals veröffentlicht am 2017-09-14 12:00:00 (UTC)