Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Описание
ext/openssl/ossl_ocsp.c в Ruby некорректно проверяет возвращаемое из функции OCSP_basic_verify значение, что может позволить злоумышленникам, действующим удаленно, пройти авторизацию с некорректным сертификатом X.509. Данная уязвимость, возможно, связана с отозванным сертификатом.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.ruby-lang.org/
http://www.ruby-lang.org/
Ссылки
XF (ruby-ocspbasicverify-spoofing(48761)): http://xforce.iss.net/xforce/xfdb/48761
UBUNTU (USN-805-1): http://www.ubuntu.com/usn/USN-805-1
SECTRACK (1022505): http://www.securitytracker.com/id?1022505
BID (33769): http://www.securityfocus.com/bid/33769
REDHAT (RHSA-2009:1140): http://www.redhat.com/support/errata/RHSA-2009-1140.html
MANDRIVA (MDVSA-2009:193): http://www.mandriva.com/security/advisories?name=MDVSA-2009:193
CONFIRM (http://redmine.ruby-lang.org/issues/show/1091): http://redmine.ruby-lang.org/issues/show/1091
MISC (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=513528): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=513528
UBUNTU (USN-805-1): http://www.ubuntu.com/usn/USN-805-1
SECTRACK (1022505): http://www.securitytracker.com/id?1022505
BID (33769): http://www.securityfocus.com/bid/33769
REDHAT (RHSA-2009:1140): http://www.redhat.com/support/errata/RHSA-2009-1140.html
MANDRIVA (MDVSA-2009:193): http://www.mandriva.com/security/advisories?name=MDVSA-2009:193
CONFIRM (http://redmine.ruby-lang.org/issues/show/1091): http://redmine.ruby-lang.org/issues/show/1091
MISC (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=513528): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=513528