Forskare från Trustwave har avslöjat en allvarlig sårbarhet i RubyGems som kan utnyttja pakethanterare av Ruby programmeringsspråk för att lura användare. Denna sårbarhet kan installera skadlig kod från angriparen kontrollerad pärla servrar.
Omfattningen av sårbarhet kunde nå så många som 1.2 miljon programinstallationer per dag enligt beräknings stöds av Öppen säkerhetsforskare Anthony Kasza. RubyGems används av många företag, inklusive sociala medier, Betalning Gateway företag och nystartade företag.
En Ruby pärla är en vanlig förpackningsformat som används för att hantera ut Ruby applikationer och bibliotek. Användare kan ladda ner pärlor från pärla distributionsservrar som skjuts av sina utvecklare.
“Den RubyGems klienten har en ’Gem Server Discovery’ funktionalitet, som använder en begäran DNS SRV för att hitta en pärla server. Denna funktion kräver inte att DNS-svar kommer från samma säkerhetsdomän som den ursprungliga pärla källan, tillåter godtyckliga omdirigering till angriparen styrda pärla servrar,” de Trustwave forskarna förklaras i en blogginlägg.
Sårbarhet CVE-2015-3900
Det ger tillåtelse till angriparen att omdirigera en RubyGems användare som använder HTTPS till en angripare kontrollerad pärla server. Således, HTTPS kontroll på den ursprungliga HTTPS pärla källa blir effektivt runt, och angriparen kan tvinga användaren att installera skadliga pärlor. CVE-2015-3900 påverkar också något som bäddar RubyGems kundens miljö JRuby och Rubinius.
Användare uppmanas att göra uppdateringar till de senaste versionerna som utan att tänka på att metoden för att uppdatera till en fast version av RubyGems kunde använda samma utsatta teknik. Därför, Det är bättre att göra uppdateringen på ett säkert nätverk.