Ruby 更新修复了 SSL 中间人漏洞

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量520 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013484516/article/details/18310651
版权

   Ruby 的 OpenSSL 实现绑定版本被发现一个漏洞 hostname check bypassed. 该漏洞是因为 X509 名称包含 null 字节的错误解析问题,可导致攻击者放置 "www.ruby-lang.org\0example.com" 这样的证书,并被 Ruby 客户端读取到,然后被解析为 "www.ruby-lang.org". 这使得证书验证程序挂起,同时证书被认定为来自 "www.ruby-lang.org". 如果攻击者可以获取一个证书包含了 null 字节的 subjectAltName ,他们就可以使用这个证书来作为受害者和网站之间的中间人。

    所有的 Ruby 版本都受此漏洞影响,包括 Ruby 1.8.7 p373 或更早期的版本,Ruby 1.9.3 p447 或更早期版本 以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞,是关于 REXML 实体扩展的 DoS 漏洞。

吸料机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
更新ruby镜像遇到OpenSSL证书过期的问题
mx666666的博客
12-09 3467
最近升级cocoapods中发现在更新ruby镜像源的时候遇见ssl证书链接错误的情况, https://gems.ruby-china.org/已经访问不了,需要替换新的镜像 首先将查看自己的镜像 gem sources -l 再讲之前的镜像删除 //我自己电脑上是https://gems.ruby-china.org/,所以删除该镜像 gem sources --remove https://gems.ruby-china.org/ 然后添加新的镜像 gem sourc..
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
热门推荐
hongweibing1的专栏
11-21 5万+
详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 解决办法 临时解决方法:  SSL/TLS  --------  1、禁止apache服务器使用RC4加密算法
Ruby On Rails 路径穿越漏洞(CVE-2018-3760)
Yale的博客
03-19 3035
Ruby On Rails 路径穿越漏洞(CVE-2018-3760) 前言: 这个漏洞作为路径穿越的典型例子,比较经典,18年跟着文档分析了一遍,最近又重新理了一遍,捎带着写了一遍源码跟踪分析的过程,个人感觉整个跟入调用的思想还是比较清晰的,分析的过程写的比较详细,有兴趣的萌新们也可以跟着分析一遍。 背景: Sprockets中存在信息泄露漏洞。 受影响的版本:4.0.0.beta7及更低版本,...
ssl ssh 常见 漏洞修复
Andrew Yang's Note
08-22 7599
CVE-2014-3566 ref: https://www.oschina.net/question/12_175450 Nginx 在 Nginx 只允许使用 TLS 协议: 在配置文件中使用: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx /etc/init.d/nginx reload MySQL 删除 ssl-ci...
编译安装 ruby-2.0.0-p481 openssl 报错 SSLv3 undefined
抱朴守拙
09-20 1103
编译安装 ruby-2.0.0-p481 openssl 报错 SSLv3 undefined)背景原因解决方法 背景 最近在 deepin/龙心平台上安装应用系统,需要用到 ruby-2.0.0-p481。 下载源码进行编译,报错如下: 即,由于: ossl_ssl.c:132:27: error: ‘SSLv3_method’ undeclared here (not in a functi...
开源漏洞工具集
灵感点滴的分享
05-19 2202
子域名枚举扫描器或爆破工具 https://github.com/lijiejie/subDomainsBrute (lijiejie开发的一款使用广泛的子域名爆破枚举工具) https://github.com/ring04h/wydomain (猪猪侠开发的一款域名收集全面、精准的子域名枚举工具) https://github.com/le4f/dnsmaper (子域名枚举爆破工具以及地图位置标记) https://github.com/0xbug/orangescan (提供web界面的在线子域名信
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 653
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
模糊测试--强制性安全漏洞发掘
WangPo292753522的专栏
01-13 1万+
文档分享地址链接:链接:http://pan.baidu.com/s/1dDeROHj 密码:o15z 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序,包括Microsoft的Internet Explorer、W
ruby组件升级修复漏洞方案-20200602-y.doc
02-03
本文通过在Dockerfile里面执行apt-get update 方式更新ruby组件版本,以修复CVE-2018-16396等漏洞
ssl-tools:用于调试SSL连接证书的Ruby工具
02-01
SSL工具 der2pem FILES... remote-cert status.github.com | show-cert create-cert example.com "My Organization" > cert_and_key.pem ruby doctor.rb example.com:443 doctor.rb样本输出: /Users/mislav/.rbenv...
ruby-ssl-check
05-20
ruby-ssl-check 该脚本试图帮助您诊断SSL问题,尤其是在连接到时,与证书或TLS版本有关。 它可以通过以下方式运行: curl -Lks 'https://git.io/rg-ssl' | ruby
Ruby讲座修复我们破碎的程序前功
02-20
创建一个有效的Ruby程序。 您的浏览器不支持视频标签。 我们建议使用Chrome 实验说明分叉并克隆此存储库。 从克隆的目录中运行learn ,您将看到一个测试通过了,另一个测试失败了。 打开文件lib/a_working_program....
Ruby讲座修复我们破碎的程序001 prework web
03-01
创建一个有效的Ruby程序。 您的浏览器不支持视频标签。 我们建议使用Chrome 实验说明 分叉并克隆此存储库。 从克隆的目录中运行learn ,您将看到一个测试通过了,而另一个则失败了。 打开文件lib/a_working_...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
JSP、Servlet、HTML、CSS、JS和JQuery开发的Java题库管理系统可执行内含文档代码.zip
07-28
JSP、Servlet、HTML、CSS、JS和JQuery开发的Java题库管理系统可执行内含文档代码.zip
探索Ruby元编程:创始人视角
"Ruby元编程深入解析,展现Ruby创始人对元编程的核心理念,帮助读者理解并运用元编程技术,打造更高效、简洁的软件。" Ruby元编程是Ruby语言的一个重要特性,它允许程序员在运行时修改或创建代码,极大地提高了代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值