发布日期：2021-07-07
更新日期：2021-10-26

受影响系统：

Ruby Ruby >= 3.0.0
Ruby Ruby >= 2.7.0
Ruby Ruby >= 2.6.0
Ruby Ruby <= 3.0.1
Ruby Ruby <= 2.7.3
Ruby Ruby <= 2.6.7
Ruby Ruby <= 2.4.3

描述：

---

CVE(CAN) ID: CVE-2021-32066

Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。
Ruby 2.6.0-2.6.7、2.7.0-2.7.3和3.0.0-3.0.1版本存在证书验证错误漏洞。该漏洞产生的原因是当StartTLS失败并返回未知响应时，Net::IMAP不会引发异常。攻击者可利用该漏洞利用借助客户端和注册表之间的网络位置来阻止StartTLS命令来绕过TLS保护，又名“StartTLS 剥离攻击”。

<**>

建议：

---

厂商补丁：

Ruby
----
目前厂商已经发布了升级补丁以修复这个安全问题，补丁获取链接：

https://access.redhat.com/security/cve/cve-2021-32066

浏览次数：815
严重程度：0（网友投票）