CVE-2020-15133

Versões do faye-websocket anteriores à 0.11.0

O problema está relacionado à falta de validação de certificados nos handshakes TLS. A classe Faye::WebSocket::Client utiliza o método EM::Connection#start tls, que não implementa a verificação de certificados por padrão. Isso significa que qualquer conexão wss: estabelecida usando esta biblioteca está vulnerável a um ataque man-in-the-middle, uma vez que não confirma a identidade do servidor ao qual está conectada. A biblioteca foi atualizada para habilitar a verificação TLS por padrão, e duas novas opções foram adicionadas ao construtor Faye::WebSocket::Client: tls.root cert file e tls.verify peer. Essas opções permitem que os usuários forneçam um conjunto diferente de certificados raiz e desativem totalmente a verificação, respectivamente.

Para resolver o problema, atualize o faye-websocket para a versão 0.11.0.

Se você precisar usar um conjunto diferente de certificados raiz, use a opção :root cert file ao criar uma nova instância de Faye::WebSocket::Client.

Se você precisar desativar completamente a verificação, use a opção :verify peer, mas isso deve ser um último recurso.