Les chercheurs de Trustwave ont découvert une vulnérabilité grave RubyGems qui peut exploiter le gestionnaire de paquets de langage de programmation Ruby pour tromper les utilisateurs. Cette vulnérabilité peut installer des logiciels malveillants à partir des serveurs de contrôle gem attaquant.
La portée de la vulnérabilité pourrait atteindre autant que 1.2 millions d'installations de logiciels par jour selon le calcul pris en charge par la sécurité de OpenDNS chercheur Anthony Kasza. RubyGems est utilisé par de nombreuses entreprises, y compris les médias sociaux, sociétés de passerelle de paiement et les start-ups.
Un petit bijou Ruby est un format d'emballage utilisé régulièrement pour traiter des applications Ruby et bibliothèques. Les utilisateurs peuvent télécharger des pierres précieuses à partir des serveurs de distribution de pierres précieuses qui sont poussés par leurs développeurs.
“Le client a un RubyGems « Gem Discovery Server’ Fonctionnalité, qui utilise une requête DNS SRV pour trouver un serveur de pierres précieuses. Cette fonctionnalité ne nécessite pas que les réponses DNS proviennent du même domaine de sécurité que la source de pierres précieuses,, permettant la redirection arbitraire vers les serveurs de pierres précieuses contrôlé par l'attaquant,” les chercheurs Trustwave a expliqué dans un blog.
La vulnérabilité CVE-2015-3900
Il donne l'autorisation de l'attaquant de rediriger un utilisateur RubyGems qui utilise le protocole HTTPS à un serveur contrôlé gem attaquant. Ainsi, vérification HTTPS sur la source gem HTTPS originale obtient efficacement ronde, et l'attaquant peut forcer l'utilisateur à installer des gems malveillants. CVE-2015-3900 affecte également tout ce qui intègre l'environnement client RubyGems comme JRuby et Rubinius.
Les utilisateurs sont invités à faire des mises à jour des dernières versions fournies, mais garder à l'esprit que la méthode de mise à jour vers une version fixe de RubyGems pourrait utiliser la même technique vulnérable. Donc, il est préférable de faire la mise à jour sur un réseau sécurisé.