RubyGems.org warnt vor potenziell eingeschleusten Ruby-Paketen
Ein Bug ermöglichte potenziellen Angreifern den Austausch bestimmter Pakete. Wer vor dem 8. Februar 2015 Gems mit einem Bindestrich im Namen hochgeladen hat, sollte sie überprüfen.
- Rainald Menge-Sonnentag
Ein Blog-Beitrag auf RubyGems.org weist auf einen Bug hin, der es Angreifern ermöglichte, Pakete gegen andere auszutauschen. Betroffen sind wohl Gems – die Bezeichnung für Ruby-Pakete –, die einen Bindestrich enthalten. Die Plattformbetreiber haben am 2. April einen entsprechenden Hinweis erhalten und den Fehler behoben. Dabei entdeckten sie eine ähnliche Schwachstelle, die sie bis zum 4. April entfernten. Außerdem haben sie alle Pakete überprüft, die nach dem 8. Februar 2015 hochgeladen wurden und dabei kein ersetztes gefunden.
Eigene Gems überprüfen
Auch wenn die Wahrscheinlichkeit damit recht gering ist, dass Angreifer die Lücke unbemerkt ausgenutzt haben, sollten Autoren, die Gems mit einem Bindestrich im Namen vor dem 8. Februar 2015 hochgeladen haben, ihre Pakete überprüfen. Die detaillierte Anleitung findet sich im Blog-Beitrag.
Die erste Angriffsfläche existiert wohl seit dem 11. Juni 2014, die zweite seit dem Start der Plattform RubyGems.org. Unabhängig von der ausgenützten Schwachstelle ist es wohl nicht möglich, die ausgetauschten Pakete über den Standardbefehl gem install zu installieren, was das Risiko zusätzlich verringern sollte.
Vermutlich harmloser Warnschuss
Dennoch ist die Schwachstelle ein weiterer Warnhinweis, den in einem Projekt verwendeten externen Code genau im Auge zu behalten. Im März führte beim Paketmanager npm zunächst das Entfernen eines winzigen Pakets dazu, dass viele Builds – inklusive dem von Node.js – scheiterten, kurz darauf wurde eine Sicherheitslücke bekannt, die das Verteilen eines Wurms ermöglichte.
(rme)
