FreeBSD：Ruby -- OpenSSL ホスト名検証の脆弱性（d4379f59-3e9b-49eb-933b-61de4d0b0fdb）

medium Nessus プラグイン ID 82753

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Ruby 開発者のレポート：

RFC 6125 および RFC 5280 をレビューした後で、私たちは、ホスト名および特にワイルドカード証明書の一致で複数の違反を見つけました。

Ruby の OpenSSL 拡張は今では文字列ベースの一致アルゴリズムを提供しています。このアルゴリズムは、これらの RFC で推奨されているように、より厳密な動作に従います。特に、表題/SAN ごとの複数のワイルドカードの一致はもはや許可されません。また、これらの値の比較には今では大文字小文字を区別しない。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?291d9038

http://www.nessus.org/u?de17f4c6

プラグインの詳細

深刻度: Medium

ID: 82753

ファイル名: freebsd_pkg_d4379f593e9b49eb933b61de4d0b0fdb.nasl

バージョン: 1.9

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2015/4/14

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS v3

リスクファクター: Medium

基本値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:ruby, p-cpe:/a:freebsd:freebsd:ruby20, p-cpe:/a:freebsd:freebsd:ruby21, p-cpe:/a:freebsd:freebsd:ruby22, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2015/4/14

脆弱性公開日: 2015/4/13

参照情報

CVE: CVE-2015-1855