Trustwave araştırmacıları kullanıcıları kandırmak için Ruby programlama dilinin paket yöneticisini istismar edebilir rubygems ciddi açığı ortaya çıkardı. Bu güvenlik açığı saldırganın kontrollü mücevher sunucularından kötü amaçlı yazılım yükleyebilir.
Bu güvenlik açığının kapsamı kadar ulaşabilir 1.2 OpenDNS güvenlik araştırmacısı Anthony kasza tarafından desteklenen hesaplamaya göre, günde milyon yazılım tesisat. RubyGems sosyal medya siteleri dahil birçok işletme tarafından kullanılan, ödeme ağ geçidi şirketleri ve start-up.
Bir Yakut mücevher Yakut uygulamalar ve kütüphaneler dışarı çıkmak için kullanılan normal bir paketleme biçimi. Kullanıcılar, kendi geliştiricileri tarafından itilir mücevher dağıtım sunucularından taşlar indirebilirsiniz.
“RubyGems istemci ‘Gem Sunucu Discovery vardır’ işlevselliği, hangi bir mücevher sunucusunu bulmak için DNS SRV isteği kullanır. Bu işlevsellik, orijinal taş kaynağı olarak aynı güvenlik etki alanından geldiğini DNS cevap gerektirmez, Saldırgan kontrollü mücevher sunucularına keyfi yönlendirmeyi sağlayan,” Trustwave araştırmacılar açıklandığı Blog yazısı.
Güvenlik Açığı CVE-2015-3900
Bu, bir saldırganın kontrollü mücevher sunucusuna HTTPS kullanan bir RubyGems kullanıcıyı yönlendirmek için saldırgana izin verir. Böylece, Orijinal HTTPS mücevher kaynağına HTTPS doğrulama verimli yuvarlak alır, ve saldırganın zararlı taşlar yüklemek için kullanıcı zorlayabilir. CVE-2015-3900 Ayrıca JRuby ve Rubinius olarak RubyGems müşterinin ortamı gömer şey etkiler.
Kullanıcılar rubygems sabit sürümüne güncelleme yöntemi aynı savunmasız tekniğini kullanabilirsiniz akılda tutmak ancak sağlanan son sürümlerine güncelleme yapmanız tavsiye edilir. bu nedenle, güvenli bir ağ üzerinde güncelleme yapmak daha iyidir.