net/httpsライブラリにおける「中間者によるなりすまし攻撃」に対する脆弱性についてPosted by Shugo Maeda on 4 Oct 2007 Rubyに標準で添付されているnet/httpsライブラリ(net/https.rb)において、このライブラリを使用してhttpsプロトコルを発行した場合、中間者によるなりすまし攻撃(man-in-the-middle attack)を検出できないという問題が発見されました。 この脆弱性については、<URL:http://www.isecpartners.com/advisories/2007-006-rubyssl.txt>として公開されています。 影響 net/http.rbでは、SSL接続の際に、証明書のCNがリクエスト先のDNS名に対して検証されません。これにより、攻撃者がリクエスト先のサーバになりすますことが可能になります。 脆弱性の存在するバージョン 1.8系 1.8.4以前の全てのバージョン、1.8.5-
