Ruby lukker man-in-the-middle-hul

Artiklen blev oprindeligt publiceret den 23/6/2015

Udviklerne af RubyGem har lukket et sikkerhedshul, der lader en angriber afvikle skadelige programmer på den sårbare maskine. Det kræver, at angriberen kan placere sig som en man-in-the-middle.

Sårbarheden ligger i funktionen, der finder ud af, hvor opdateringer til Ruby gems befinder sig. Funktionen foretager en DNS-opslag, men tjekker ikke, om svaret kommer fra en server, der er tillid til.

Derfor kan en angriber på samme netværk som offeret placere falske oplysninger om serveren, som RubyGem skal hente opdateringer fra.

Sårbarheden blev forsøgt rettet i maj. Men rettelsen var ikke helt effektiv, så sikkerhedsfirmaet Trustwave opdagede en metode til at udnytte en variant af den. Den blev fjernet den 8. juni.

Anbefaling
Opdater til seneste version af RubyGem. Fejlen er rettet i RubyGems version 2.0.17, 2.2.5 og 2.4.8 eller højere.

Links