dodany: 28.06.2013 | tagi: , , , , ,

Autor:

Aktualizacja Ruby naprawia lukę MitM w obsłudze SSL

0

Implementacja OpenSSL w Ruby okazała się niebezpieczna. Dzięki znalezionej luce możliwe jest ominięcie sprawdzania hostname. Jeżeli w alternatywej nazwie X509 certyfikatu (thesubjectAltName) znajduje się znak pusty, przykładowo “ruby-lang.org\0example.com”, Ruby zinterpretuje to jako “ruby-lang.org”.

Luka zyskała oznaczenie CVE-2013-4073. Zalecana jest aktualizacja do najnowszych wersji poszczególnych gałęzi, tj. 1.8.7p374 (które naprawia także lukę DoS w REXML), 1.9.3p448 oraz 2.0.0p247.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *