CVE-2020-15134 in Faye
Сводка
по VulDB • 21.05.2026
В версиях Faye до 1.4.0 отсутствует проверка сертификатов при рукопожатиях TLS. В Ruby-версии клиента Faye используются библиотеки em-http-request и faye-websocket. Обе эти библиотеки применяют метод `EM::Connection#start_tls` в EventMachine для реализации рукопожатия TLS всякий раз, когда для подключения используется URL с протоколом `wss:`. Данный метод по умолчанию не реализует проверку сертификатов, то есть не проверяет, предоставляет ли сервер действительный и доверенный TLS-сертификат для ожидаемого имени хоста. Это означает, что любое соединение `https:` или `wss:`, установленное с использованием этих библиотек, уязвимо для атаки «человек посередине» (Man-in-the-Middle), поскольку не подтверждает идентичность сервера, к которому установлено подключение. Первый запрос, который отправляет клиент Faye, всегда выполняется через обычный HTTP, но последующие сообщения могут передаваться через WebSocket. Следовательно, клиент подвержен той же проблеме, что и используемые им базовые библиотеки, и для того чтобы Faye мог заявить о поддержке проверки TLS, необходимо было обеспечить эту функциональность в обеих библиотеках. Клиент оставался бы небезопасным, даже если бы его начальный HTTPS-запрос проверялся, но последующие WebSocket-соединения — нет. Эта проблема исправлена в Faye v1.4.0, где проверка сертификатов включена по умолчанию. Для получения дополнительной информации об этой проблеме см. соответствующее уведомление безопасности на GitHub (GitHub Advisory).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.