Mehrere Sicherheitslücken in RubyGems

Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

In Pocket speichern vorlesen Druckansicht
Verschlossene Tür, Schloss, Sicherheit
Lesezeit: 1 Min.

RubyGems, das offizielle Paketsystem für die Programmiersprache Ruby, weist insgesamt vier Sicherheitslücken mit den Bezeichnungen CVE-2017-0902, CVE-2017-0899, CVE-2017-0900 und CVE-2017-0901 auf. Sie können unter anderem dazu missbraucht werden, DNS-Anfragen umzuleiten, Denial-of-Service-Angriffe gegen RubyGem-Clients auszuführen und lokale Dateien zu überschreiben. Eine Einschätzung des Schweregrads seitens der Entwickler liegt derzeit noch nicht vor.

Die RubyGems-Schwachstellen stecken in den Ruby-Versionsreihen 2.2 bis einschließlich 2.2.7, 2.3 inklusive 2.3.4 sowie 2.4 Ausgabe 2.4.1 eingeschlossen. Im offiziellen SVN-Repository ist der Programmcode vor Revision 59672 betroffen. Ein RubyGems-Update auf die aktuelle Version 2.6.13 schließt die Lücken. Wer die Aktualisierung nicht durchführen kann, findet auf ruby-lang.org Patches und Workarounds für die betroffenen Ruby-Versionen. (ovw)