Pesquisadores da Trustwave ter descoberto uma vulnerabilidade grave no RubyGems que podem explorar o gerenciador de pacotes de linguagem de programação Ruby para enganar os usuários. Esta vulnerabilidade pode instalar malware de servidores gem controlada atacante.
O escopo da vulnerabilidade pode chegar a todos quantos 1.2 milhões de instalações de software por dia de acordo com cálculo suportados pelo pesquisador de segurança OpenDNS Anthony Kasza. RubyGems é usado por muitas empresas, incluindo sites de mídia social, empresas de gateway de pagamento e start-ups.
A gem Ruby é um formato de embalagem regular usado para tratar a aplicações e bibliotecas Ruby. Os usuários podem baixar gemas a partir de servidores de distribuição gem que são empurrados por seus desenvolvedores.
“O cliente RubyGems tem um ‘Servidor Descoberta Gem’ funcionalidade, que utiliza um pedido SRV DNS para encontrar um servidor gem. Esta funcionalidade não requer que as respostas DNS vêm do mesmo domínio de segurança como a fonte gem originais, permitindo o redirecionamento arbitrária para os servidores gem controlada pelo atacante,” os pesquisadores Trustwave explicou em um post.
A vulnerabilidade CVE-2015-3900
Ele dá permissão para o atacante para redirecionar um usuário RubyGems que está usando HTTPS para um servidor gem controlada atacante. Assim, verificação HTTPS na fonte HTTPS gem originais eficiente contorna, e o atacante pode obrigar o usuário a instalar gemas maliciosos. CVE-2015-3900 também afeta qualquer coisa que incorpora o ambiente do cliente RubyGems como JRuby e Rubinius.
Os usuários são aconselhados a fazer atualizações para as versões mais recentes fornecidos, mas ter em mente que o método de atualização para uma versão fixa do RubyGems pode usar a mesma técnica vulneráveis. Portanto, é melhor para fazer a atualização em uma rede segura.