Systemeinbruch mit RubyGems
Die Installer-Anwendung für Ruby-Pakete überprüft Zielverzeichnisse von zu installierenden Paketen nicht. Dadurch können Angreifer mit präparierten Paketen wichtige Dateien überschreiben.
RubyGems, eine Installer-Anwendung für Ruby-Pakete, überprüft Zielverzeichnisse von zu installierenden Paketen nicht. Angreifer können so bei der Installation von präparierten Paketen wichtige Dateien überschreiben und dadurch den Rechner unter ihre Kontrolle bringen.
Betroffen sind RubyGems 0.9.0 und vorherige Versionen. Auf den Projektseiten stehen inzwischen Pakete in Version 0.9.1 zum Download bereit. Außerdem stellen die Entwickler Patches für die Versionen 0.8.11 und 0.9.0 zur Verfügung, die darin eine Überprüfung des Installationspfades nachrüsten.
Siehe dazu auch:
- RubyGems 0.9.0 and earlier installation exploit, Fehlerbericht auf Full Disclosure
- Download aktualisierter RubyGem-Pakete
(dmk)
