חוקרים של Trustwave חשפו פגיעות חמורות RubyGems שיכולים לנצל את מנהל החבילות של שפת התכנות של רובי כדי לגרום למשתמשים. פגיעות זו יכולה להתקין תוכנות זדוניות משרתי פנינה נשלט התוקף.
היקף הפגיעות עלול להגיע כמה שיותר 1.2 מ'התקנות תוכנה ליום פי חישוב נתמך על ידי חוקר אבטחת OpenDNS אנתוני קסה. RubyGems משמש עסקים רבים כולל אתרי מדיה חברתית, חברות שער תשלום וחברות סטארט-אפ.
פנינה רובי הוא פורמט אריזה קבוע המשמש לטיפול מתוך יישומים רובי וספריות. משתמשים יכולים להוריד פנינים משרתי הפצת פנינה נדחפים על ידי המפתחים שלהם.
“הלקוח RubyGems יש "דיסקברי שרת Gem’ פונקציונלי, אשר משתמשת בקשת SRV DNS למציאה בשרת פנינה. פונקציונליות זו אינה דורשת כי תגובות DNS באות מאותו תחום הביטחון כמקור פנינה המקורי, המאפשר ניתוב מחדש שרירותי לשרתי פנינה שבשליטת התוקף,” חוקרי Trustwave הסבירו פוסט בבלוג.
פגיעות CVE-2015-3900
זה נותן רשות התוקפת להפנות משתמש RubyGems מי משתמש HTTPS לשרת פנינה נשלט התוקף. לפיכך, אימות HTTPS על מקור פנינה HTTPS המקורי מקבלת ביעילות עגולה, ואת התוקף יכול לחייב את המשתמש להתקין פנינים זדוניות. CVE-2015-3900 גם משפיע דבר מטביע סביבת הלקוח RubyGems כמו JRuby ו Rubinius.
מומלצים למשתמשים לבצע עדכונים לגרסות העדכניות מסופקות אך לזכור כי שיטת עדכון לגרסה קבועה של RubyGems יכולה להשתמש באותה טכניקה פגיעה. לכן, עדיף לבצע את העדכון על רשת מאובטחת.