GLSA 202003-09: OpenID library for Ruby: Server-Side Request Forgery
Опасность: | высокая |
Заголовок: | OpenID library for Ruby: Server-Side Request Forgery |
Дата: | 14.03.2020 |
Ошибки: |
|
ID: | 202003-09 |
Сводка
A vulnerability in OpenID library for Ruby at worst might allow an attacker to bypass authentication.Назначение
A Ruby library for verifying and serving OpenID identities.
Уязвимые пакеты
Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
---|---|---|---|
dev-ruby/ruby-openid | < 2.9.2 | >= 2.9.2 | All supported architectures |
Описание
It was discovered that OpenID library for Ruby performed discovery first, and then verification.
Воздействие
A remote attacker could possibly change the URL used for discovery and trick the server into connecting to the URL. This server in turn could be a private server not publicly accessible.
In addition, if the client that uses this library discloses connection errors, this in turn could disclose information from the private server to the attacker.
Обход
There is no known workaround at this time.
Решение
All ruby-openid users should upgrade to the latest version:
# emerge --sync # emerge --ask --oneshot --verbose ">=dev-ruby/ruby-openid-2.9.2"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.