How to install RubyGems | lynda.com tutorial
A revidirani patch objavljen je zbog propusta u distribucijskoj platformi za Rubyove aplikacije, RubyGems, koji bi se mogli koristiti za isporuku zlonamjernog softvera nekome tko pokušava preuzeti program.
RubyGems korisnicima omogućuje pretraživanje "dragulja", što je pakiranje format za Rubyove aplikacije i biblioteke kodova. Ruby developeri objavljuju dragulj kada je aplikacija spremna.
Istraživači sigurnosti iz Trustwavea našli su problem s platformom. Kada korisnici traže dragulj, RubyGems koristi SRV zahtjev za zapisivanje DNS (Domain Name System) za pronalaženje poslužitelja koji posjeduje određeni dragulj.
[Dodatno čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]Zahtjev, međutim, "ne zahtijeva da DNS odgovori dolaze iz iste sigurnosne domene kao izvorni izvor dragulja", navodi se u priopćenju, koju Trustwave planira objaviti na svom blogu u utorak.
Napadač koji koristi taj nedostatak može preusmjeriti RubyGems klijent za preuzimanje dragulja s drugog poslužitelja, a umjesto toga je napisao zlonamjerni program, napisao je Trustwave.
"Napisali smo potpuno funkcionalnu gem trojaning uslugu koja pokazuje kako je napadač mogao jednostavno Trojanski Ruby dragulja transparentno preko žice dok ih korisnik instalira", piše Trustwave.
Most dragulji nisu digitalno potpisani, tako da nema druge provjere kako bi se osiguralo da je program ono što ona pretpostavlja da bude. Danas je ugrađeno oko 1,2 milijuna dragulja, pa postoji velika potencijalna skupina žrtava, prema Trustwave, koja je također surađivala s OpenDNS-om kako bi saznali broj DNS SRV zahtjeva za draguljima.
RubyGems je izdao patch za pukotinu sredinom svibnja, ali to je bilo nepotpuno, piše Jonathan Claudius, glavni istraživač sigurnosti na Trustwaveu, u e-poruci. Organizacija je 8. lipnja objavila drugu zakrpu. Rješenje potvrđuje SRV zapis pod izvornom domenom, prema RubyGemsovom blogu.
Trustwave je odlučio odustati od objavljivanja informacija o nedostatku do sada kako bi ljudima dao patch, Rekao je Klaudije. "Korisnici su sporo popraviti", napisao je.
Propust je CVE-2015-3900, a korisnici bi trebali pokrenuti verziju 2.4.8 ili noviji od RubyGems. Vanjske razlike između 2.0 i 2.4.6 su ranjive.
RubyGems DNS mana sada zakrpa nakon drugog pokušaja
Oni koji koriste klijent distribucije preporučuju se zakrpati odmah na verziju 2.4.8 ili noviji
Pokrenite iphone u načinu james bond: postavite svoj iphone na samouništavanje i brisanje svih podataka nakon neuspjelih pokušaja lozinke
Pokrenite iPhone u James Bond modu: postavite svoj iPhone na samouništavanje i brisanje svih podataka nakon neuspjelih pokušaja lozinke
