BDU:2015-09978

Опубликовано: 13 апр. 2015

Источник: fstec

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость интерпретатора Ruby в расширении OpenSSL заключается в некорректной проверке имен узлов и сертификатов, содержащих групповые символы. В результате эксплуатации уязвимости при помощи специально сформированного сертификата нарушитель может подменить SSL-сервер

Вендор

Ruby Team

Наименование ПО

Ruby

Версия ПО

от 2.0.0 до 2.0.0-p645 включительно (Ruby)

от 2.1.0 до 2.1.6 включительно (Ruby)

от 2.2.0 до 2.2.2 включительно (Ruby)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Microsoft Corp Windows -

Oracle Corp. Solaris .

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:

https://www.ruby-lang.org

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1855
CVE

EPSS

Процентиль: 86%

0.0272

Низкий

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2015-1855

CVSS3: 5.9

ubuntu

около 6 лет назад

verify_certificate_identity in the OpenSSL extension in Ruby before 2.0.0 patchlevel 645, 2.1.x before 2.1.6, and 2.2.x before 2.2.2 does not properly validate hostnames, which allows remote attackers to spoof servers via vectors related to (1) multiple wildcards, (1) wildcards in IDNA names, (3) case sensitivity, and (4) non-ASCII characters.