Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Описание
Библиотеки Net::ftptls, Net::telnets, Net::imap, Net::pop и Net::smtp в Ruby не проверяют, что поле commonName (CN) сертификата сервера совпадает с доменным именем в запросе, отправленном поверх SSL, что позволяет злоумышленникам, действующим удаленно, прервать SSL-передачу данных, используя атаку "человек-посередине" или подмену веб-сайта.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.ruby-lang.org/
http://www.ruby-lang.org/
Ссылки
CERT (TA07-352A): http://www.us-cert.gov/cas/techalerts/TA07-352A.html
REDHAT (RHSA-2007:0965): http://www.redhat.com/support/errata/RHSA-2007-0965.html
MISC (https://bugzilla.redhat.com/show_bug.cgi?id=362081): https://bugzilla.redhat.com/show_bug.cgi?id=362081
SECTRACK (1018938): http://www.securitytracker.com/id?1018938
BID (26421): http://www.securityfocus.com/bid/26421
REDHAT (RHSA-2007:0961): http://www.redhat.com/support/errata/RHSA-2007-0961.html
SUSE (SUSE-SR:2007:024): http://www.novell.com/linux/security/advisories/2007_24_sr.html
MANDRIVA (MDVSA-2008:029): http://www.mandriva.com/security/advisories?name=MDVSA-2008:029
VUPEN (ADV-2007-4238): http://www.frsirt.com/english/advisories/2007/4238
DEBIAN (DSA-1412): http://www.debian.org/security/2007/dsa-1412
DEBIAN (DSA-1411): http://www.debian.org/security/2007/dsa-1411
DEBIAN (DSA-1410): http://www.debian.org/security/2007/dsa-1410
CONFIRM (http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=13656): http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=13656
APPLE (APPLE-SA-2007-12-17): http://lists.apple.com/archives/security-announce/2007/Dec/msg00002.html
CONFIRM (http://docs.info.apple.com/article.html?artnum=307179): http://docs.info.apple.com/article.html?artnum=307179
UBUNTU (USN-596-1): http://www.ubuntu.com/usn/usn-596-1
REDHAT (RHSA-2007:0965): http://www.redhat.com/support/errata/RHSA-2007-0965.html
MISC (https://bugzilla.redhat.com/show_bug.cgi?id=362081): https://bugzilla.redhat.com/show_bug.cgi?id=362081
SECTRACK (1018938): http://www.securitytracker.com/id?1018938
BID (26421): http://www.securityfocus.com/bid/26421
REDHAT (RHSA-2007:0961): http://www.redhat.com/support/errata/RHSA-2007-0961.html
SUSE (SUSE-SR:2007:024): http://www.novell.com/linux/security/advisories/2007_24_sr.html
MANDRIVA (MDVSA-2008:029): http://www.mandriva.com/security/advisories?name=MDVSA-2008:029
VUPEN (ADV-2007-4238): http://www.frsirt.com/english/advisories/2007/4238
DEBIAN (DSA-1412): http://www.debian.org/security/2007/dsa-1412
DEBIAN (DSA-1411): http://www.debian.org/security/2007/dsa-1411
DEBIAN (DSA-1410): http://www.debian.org/security/2007/dsa-1410
CONFIRM (http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=13656): http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=rev&revision=13656
APPLE (APPLE-SA-2007-12-17): http://lists.apple.com/archives/security-announce/2007/Dec/msg00002.html
CONFIRM (http://docs.info.apple.com/article.html?artnum=307179): http://docs.info.apple.com/article.html?artnum=307179
UBUNTU (USN-596-1): http://www.ubuntu.com/usn/usn-596-1