zurück zum Artikel

Mehrere Sicherheitslücken in RubyGems

Verschlossene Tür, Schloss, Sicherheit

Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

RubyGems, das offizielle Paketsystem für die Programmiersprache Ruby, weist insgesamt vier Sicherheitslücken mit den Bezeichnungen CVE-2017-0902 [1], CVE-2017-0899 [2], CVE-2017-0900 [3] und CVE-2017-0901 [4] auf. Sie können unter anderem dazu missbraucht werden, DNS-Anfragen umzuleiten, Denial-of-Service-Angriffe gegen RubyGem-Clients auszuführen und lokale Dateien zu überschreiben. Eine Einschätzung des Schweregrads seitens der Entwickler liegt derzeit noch nicht vor.

Die RubyGems-Schwachstellen stecken in den Ruby-Versionsreihen 2.2 bis einschließlich 2.2.7, 2.3 inklusive 2.3.4 sowie 2.4 Ausgabe 2.4.1 eingeschlossen. Im offiziellen SVN-Repository ist der Programmcode vor Revision 59672 betroffen. Ein RubyGems-Update [5] auf die aktuelle Version 2.6.13 schließt die Lücken. Wer die Aktualisierung nicht durchführen kann, findet auf ruby-lang.org Patches und Workarounds [6] für die betroffenen Ruby-Versionen. (ovw [7])


URL dieses Artikels:
https://www.heise.de/-3820891

Links in diesem Artikel:
[1] https://nvd.nist.gov/vuln/detail/CVE-2017-0902
[2] https://nvd.nist.gov/vuln/detail/CVE-2017-0899
[3] https://nvd.nist.gov/vuln/detail/CVE-2017-0900
[4] https://nvd.nist.gov/vuln/detail/CVE-2017-0901
[5] http://blog.rubygems.org/2017/08/27/2.6.13-released.html
[6] https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulnerabilities-in-rubygems/
[7] mailto:ovw@heise.de