Forskere fra Trustwave har afsløret en alvorlig sårbarhed i RubyGems, der kan udnytte den pakke, leder af Rubys programmeringssprog til at narre brugere. Denne sårbarhed kan installere malware fra angriberen kontrolleret perle servere.
Omfanget af sårbarhed kunne nå så mange som 1.2 million softwareinstallationer om dagen i henhold til beregning understøttet af OpenDNS sikkerhed forsker Anthony Kasza. RubyGems bliver brugt af mange virksomheder, herunder sociale medier, betaling gateway virksomheder og nystartede virksomheder.
En Ruby perle er en almindelig emballage format, der bruges til at håndtere ud Ruby applikationer og biblioteker. Brugere kan downloade perler fra perle distributionsservere, der er skubbet af deres udviklere.
“Den RubyGems klient har en ’perle Server Discovery’ funktionalitet, som bruger en DNS-SRV anmodning om at finde en perle-server. Denne funktionalitet kræver ikke, at DNS-svar kommer fra samme sikkerhed domæne som den oprindelige perle kilde, tillader vilkårlig omdirigering til angriberen-kontrollerede perle servere,” De Trustwave forskere forklaret i en blogindlæg.
Den CVE-2015-3900
Det giver tilladelse til angriberen at omdirigere en RubyGems bruger, der bruger HTTPS til en angriber kontrolleret perle-server. Således, HTTPS kontrol på den oprindelige HTTPS perle kilde effektivt får runde, og hacker kan tvinge brugeren til at installere ondsindede perler. CVE-2015-3900 påvirker også noget, der integrerer RubyGems klientens miljø som JRuby og Rubinius.
Brugere rådes til at foretage opdateringer til de nyeste versioner leveres, men at huske på, at metoden til at opdatere til en fast version af RubyGems kunne bruge den samme sårbar teknik. Derfor, det er bedre at gøre opdateringen på et sikkert netværk.