Forskere av Trustwave har avdekket en alvorlig sårbarhet i RubyGems som kan utnytte pakken leder av Ruby programmeringsspråk for å lure brukere. Dette sikkerhetsproblemet kan installere malware fra angripe kontrollert perle servere.
Omfanget av sikkerhetsproblemet, kan nå så mange som 1.2 million programvare installasjoner per dag i henhold til beregnings støttet av OpenDNS sikkerhetsforsker Anthony KASZA. RubyGems brukes av mange bedrifter, inkludert sosiale medier, Betaling Gateway selskaper og start-ups.
En Ruby perle er en vanlig emballasje formatet som brukes for å håndtere ut Ruby programmer og biblioteker. Brukere kan laste ned edelstener fra perle distribusjonsservere som blir presset av sine utviklere.
“Den RubyGems klient har en ‘perle Server Discovery’ funksjonalitet, som bruker en DNS SRV forespørsel om å finne en perle serveren. Denne funksjonaliteten krever ikke at DNS svar kommer fra den samme sikkerheten domene som den opprinnelige perle kilde, tillater vilkårlig omdirigering til angripestyrte perle servere,” de Trustwave Forskerne forklarte i en blogg innlegg.
Den CVE-2015-3900
Det gir tillatelse til angripe å omdirigere en RubyGems bruker som bruker HTTPS til en angriper kontrollert perle serveren. Dermed, HTTPS verifikasjon på den opprinnelige HTTPS perle kilde blir effektivt runde, og angriperen kan tvinge brukeren til å installere ondsinnede edelstener. CVE-2015-3900 påvirker også noe som bygger RubyGems kundens miljø som JRuby og Rubinius.
Brukere anbefales å lage oppdateringer til de nyeste versjonene levert, men å huske på at metoden med å oppdatere til en fast versjon av RubyGems kunne bruke den samme sårbare teknikk. Derfor, det er bedre å gjøre oppdateringen på et sikkert nettverk.