Ruby-Update schĂĽtzt vor Man-in-the-Middle-Angriffen auf SSL-Verkehr

Mehrere SicherheitslĂĽcken werden mit dem neuesten Ruby-Update geschlossen. Unter anderem existiert eine Schwachstelle bei der Auswertung von SSL-Zertifikaten.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Lesezeit: 1 Min.

Ruby schließt mit den Updates auf die Versionen 1.8.7-p374, 1.9.3-p448 und 2.0.0-p247 mehrere Sicherheitslücken, die in allen älteren Versionen lauern. Unter anderem wird eine Schwachstelle geschlossen, die Man-in-the-Middle-Angriffe erlaubt. Der Angriff ist durch eine Schwachstelle bei der Auswertung von SSL-Zertifikaten möglich. Rubys SSL-Client führt zwar einen Hostname-Check durch, arbeitet dafür aber bei den Checks von Hostnamen, die Null-Bytes enthalten, unsauber.

Wenn beispielsweise ein Zertifikat für "www.ruby-lang.org\0example.com" ausgeliefert wird, würde die Ruby Client Library daraus "www.ruby-lang.org" lesen. Angreifer können so Zertifikate präparieren, mit denen sie sich als Man-in-the-Middle positionieren, um verschlüsselt übertragene Daten auf dem Transportweg zu entschlüsseln, zu lesen und anschließend vor dem Weitertransport wieder verschlüsseln. Desweiteren wird auch eine Denial-Of-Service Schwachstelle in dem XML-Prozessor REXML geschlossen.

Betroffen sind alle älteren Ruby-Versionen; Ruby 1.8.7 p373, Ruby 1.9.3 p447 und Ruby 2.0 p246, sowie alle früheren Revisionen des Ruby Source Trees ausgehend von Revision 41670. (kbe)