Remote Code Execution auf rubygems.org – RubyGems 2.6.14 behebt den Bug

Der Hosting-Service rubygems.org war bis vergangenen Montag anfällig für eine Sicherheitslücke, über die Angreifer aus der Ferne unter bestimmten Voraussetzungen Code auf dem Server ausführen konnten. Das geht aus einer Stellungsnahme des RubyGems-Teams und aus einem Blogeintrag des Sicherheitsforschers hervor, der das Problem entdeckte. rubygems.org ist eine Online-Plattform für Pakete – so genannte Gems –, die in der Programmiersprache Ruby erstellt werden. Die Sicherheitslücke selbst steckt allerdings im RubyGems-Framework, das unter anderem den Gem-Upload auf rubygems.org aus der Ferne ermöglicht. Sie trägt die Kennung CVE-2017-0903 und besteht in allen RubyGems-Versionen ab 2.0.0. Als Angriffsvektor dient die Art und Weise, wie in Gems enthaltene YAML-Dateien beim Upload auf rubygems.org von RubyGems geparst werden. Ein versierter Angreifer könnte diesen Mechanismus ausnutzen, um Gems zu manipulieren und Ruby-Code auf der Plattform auszuführen.

Das rubygems.org-Team hat die alle gehosteten Gems überprüft und ist sich nach eigener Aussage relativ sicher, dass keine Manipulationen vorgenommen wurden. Um diese auch weiterhin zu unterbinden, sollten RubyGems-Nutzer umgehend auf die aktuelle Version 2.6.14 umsteigen, die die Sicherheitsmechanismen während des Uploads verbessert. Entwickler können sich die vorgenommenen Änderungen auch auf der Entwicklerplattform GitHub anschauen. Für Nutzer der betroffenen Versionen, die nicht umgehend updaten wollen oder können, stehen alternativ auch Patches bereit. (ovw)