Onderzoekers van Trustwave hebben een ernstige kwetsbaarheid in RubyGems dat de package manager van Ruby's programmeertaal om gebruikers te misleiden kunnen benutten blootgelegd. Deze kwetsbaarheid kan malware installeren vanaf aanvaller gecontroleerde gem servers.
De reikwijdte van kwetsbaarheid zou kunnen bereiken maar liefst 1.2 miljoen software-installaties per dag, volgens berekening ondersteund door OpenDNS security-onderzoeker Anthony Kasza. RubyGems wordt gebruikt door veel bedrijven, waaronder social media sites, payment gateway bedrijven en start-ups.
Een Ruby gem is een regelmatige verpakking formaat dat wordt gebruikt voor de behandeling van uit Ruby toepassingen en bibliotheken. Gebruikers kunnen edelstenen downloaden van gem distributie servers die worden geduwd door hun ontwikkelaars.
“De RubyGems cliënt heeft een ‘Gem Server Discovery’ functionaliteit, die een DNS SRV verzoek gebruikt voor het vinden van een juweeltje server. Deze functionaliteit vereist niet dat DNS reacties zijn afkomstig uit dezelfde security domein als de oorspronkelijke gem bron, waardoor willekeurige omleiding naar de aanvaller gecontroleerde gem servers,” de Trustwave onderzoekers uitgelegd in een blogpost.
De CVE-2015-3900
Het geeft toestemming om de aanvaller een RubyGems gebruiker die via HTTPS om een aanvaller gecontroleerde juweeltje server redirect. Dus, HTTPS verificatie op de originele HTTPS gem bron krijgt efficiënt round, en de aanvaller kan de gebruiker dwingen om kwaadaardige edelstenen installeren. CVE-2015-3900 ook iets dat milieu RubyGems cliënt als JRuby en Rubinius bedt invloed.
Gebruikers wordt geadviseerd om updates naar de nieuwste versie voorzien, maar maken om in gedachten te houden dat de methode voor het updaten naar een vaste versie van RubyGems dezelfde kwetsbare techniek zou kunnen gebruiken. Daarom, is het beter om de update te maken op een beveiligd netwerk.