Ruby 的 OpenSSL 实现绑定版本被发现一个漏洞 hostname check bypassed. 该漏洞是因为 X509 名称包含 null 字节的错误解析问题,可导致攻击者放置 "\0example.com" 这样的证书,并被 Ruby 客户端读取到,然后被解析为 "". 这使得证书验证程序挂起,同时证书被认定为来自 "". 如果攻击者可以获取一个证书包含了 null 字节的 subjectAltName ,他们就可以使用这个证书来作为受害者和网站之间的中间人。
所有的 Ruby 版本都受此漏洞影响,包括 Ruby 1.8.7 p373 或更早期的版本,Ruby 1.9.3 p447 或更早期版本 以及 Ruby 2.0 p246 和更早期的版本。同时所有 Ruby 源码树中早于 41670 的修订版都存在此问题。请即刻更新到 Ruby 1.8.7 p374, Ruby 1.9.3 p448 和 Ruby 2.0.0 p247 。同时 Ruby 1.8.7 更新还包含另外一个安全漏洞,是关于 REXML 实体扩展的 DoS 漏洞。