Мир: Исправлена критическая уязвимость в RubyGems

0

Эксперты рекомендуют всем пользователям обновить клиент RubyGems до 2.4.8 и более новых версий. ИБ-исследователи из компании Trustwave обнаружили критическую уязвимость в RubyGems, менеджере пакетов для языка программирования Ruby. По словам ведущего ИБ-эксперта Trustwave Джонатана Клаудиуса (Jonathan Claudius), уязвимость являлась критической, так как позволяла злоумышленникам удаленно выполнить код на системе пользователя.


В RubyGems реализована функция Gem Server Discovery, которая использует запрос DNS SRV для обнаружения своих gem-серверов. Эта функция не требует, чтобы DNS-ответы приходили с того же домена, откуда приходят оригинальные gem-пакеты, что позволяет злоумышленникам устанавливать вредоносные gem-пакеты на систему пользователя. Разработчики RubyGems уже исправили данную уязвимость. Эксперты рекомендуют всем пользователям обновить клиент RubyGems до версии 2.4.8 и более новых. (Ruby/NovostIT)