CVE-2020-15134 in Faye
Zusammenfassung
von VulDB • 21.05.2026
In Faye vor Version 1.4.0 fehlt die Validierung von Zertifikaten während der TLS-Handshakes. Die Ruby-Version des Faye-Clients verwendet em-http-request und faye-websocket. Beide Bibliotheken nutzen die Methode `EM::Connection#start_tls` in EventMachine, um den TLS-Handshake durchzuführen, whenever eine `wss:`-URL für die Verbindung verwendet wird. Diese Methode implementiert standardmäßig keine Zertifikatsüberprüfung, was bedeutet, dass sie nicht prüft, ob der Server ein gültiges und vertrauenswürdiges TLS-Zertifikat für den erwarteten Hostnamen vorlegt. Dies bedeutet, dass jede mit diesen Bibliotheken hergestellte `https:`- oder `wss:`-Verbindung anfällig für Man-in-the-Middle-Angriffe ist, da sie die Identität des Servers, mit dem sie verbunden ist, nicht bestätigt. Die erste Anfrage, die ein Faye-Client sendet, erfolgt immer über normales HTTP, spätere Nachrichten können jedoch über WebSocket gesendet werden. Daher ist sie anfällig für das gleiche Problem, das diese zugrunde liegenden Bibliotheken betreffen, und es war erforderlich, dass beide Bibliotheken die TLS-Überprüfung unterstützen, bevor Faye behaupten konnte, dies ebenfalls zu tun. Ihr Client wäre weiterhin unsicher, wenn seine initiale HTTPS-Anfrage überprüft wurde, spätere WebSocket-Verbindungen jedoch nicht. Dies wurde in Faye v1.4.0 behoben, das die Überprüfung standardmäßig aktiviert. Weitere Hintergrundinformationen zu diesem Problem finden Sie in der angegebenen GitHub Advisory.
VulDB is the best source for vulnerability data and more expert information about this specific topic.