2.3.8より前、2.4.5より前の2.4.x、2.5.2より前の2.5.x、2.6.0-preview3より前の2.6.xのRubyのOpenSSLライブラリで問題が発見されました。2つのOpenSSL::X509::Nameオブジェクトが==を使って比較されるとき、順序によっては、オブジェクトが等しくないときにtrueが返される場合があります。1番目の引数が2番目の引数より1文字長いか、2番目の引数に1番目の引数と同じ位置にある文字より1小さい文字が含まれている場合、==の結果はtrueになります。これが悪用され、正当なものとして受け入れられ、署名または暗号化操作に使用できる不正な証明書を作成される可能性があります。（CVE-2018-16395）。2.3.8より前、2.4.5より前の2.4.x、2.5.2より前の2.5.x、2.6.0-preview3より前の2.6.xのRubyで問題が発見されました。いくつかのフォーマットでは、汚染された文字列をアンパックした結果生じる文字列が汚染されることはありません。（CVE-2018-16396）

検出

Amazon Linux AMI：ruby23/ruby24（ALAS-2018-1113）

critical Nessus プラグイン ID 119472

バージョン 1.5