Forscher von Trust haben eine ernsthafte Sicherheitslücke in RubyGems entdeckt, die den Paketmanager von Ruby Programmiersprache ausnutzen können Benutzer zu betrügen. Diese Sicherheitsanfälligkeit kann Malware von Angreifern kontrolliert gem Servern installieren.
Der Umfang der Sicherheitsanfälligkeit kann erreichen so viele wie 1.2 Millionen Software-Installationen pro Tag nach Berechnung von OpenDNS Sicherheitsforscher Anthony Kasza unterstützt. RubyGems wird von vielen Unternehmen, einschließlich Social-Media-Sites verwendet, Payment-Gateway Unternehmen und Start-ups.
Ein Ruby Juwel ist eine regelmäßige Verpackungsformat für den Umgang aus Ruby-Anwendungen und Bibliotheken. Benutzer können Edelsteine aus Edelstein Verteilungsserver herunterladen, die von ihren Entwicklern geschoben werden.
“Der RubyGems Client hat eine ‚Gem Server Entdeckung’ Funktionalität, die verwenden eine DNS-SRV-Anforderung für einen Edelstein-Server zu finden. Diese Funktionalität erfordert nicht, dass die DNS-Antworten aus der gleichen Sicherheitsdomäne wie die ursprünglichen Juwel Quelle kommen, so dass beliebige Umleitung auf den Angreifer kontrollierten gem Servern,” die Trust Forscher erklärt in einem Blogeintrag.
Die CVE-2015-3900
Es gibt die Erlaubnis für den Angreifer einen RubyGems Benutzer zu umleiten, die HTTPS an einen Angreifer kontrollierten gem Server verwendet. So, HTTPS Überprüfung auf der ursprünglichen HTTPS gem Quelle effizient umgeht, und kann der Angreifer den Benutzer dazu zwingt bösartige Edelsteine zu installieren. CVE-2015-3900 wirkt sich auch auf alles, was RubyGems Kunden Umwelt wie JRuby und Rubinius bettet.
Anwender sollten Updates auf die neuesten Versionen aber im Auge zu behalten Gebrauch machen, dass das Verfahren auf eine feste Version von RubyGems der Aktualisierung die gleiche verletzlich Technik verwenden könnte. Deshalb, es ist besser, das Update auf einem sicheren Netzwerk zu machen.