Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 1

Alert Remote Code Execution auf rubygems.org – RubyGems 2.6.14 behebt den Bug

Hosting-Service rubygems.org erlaubte Remote Code Execution

Bild: rubygems.org

Eine Sicherheitslücke in RubyGems ermöglichte versierten Angreifern aus der Ferne, Ruby-Code auf der Hosting-Plattform rubygems.org auszuführen. Ein Update sorgt für Sicherheit.

Der Hosting-Service rubygems.org war bis vergangenen Montag anfällig für eine Sicherheitslücke, über die Angreifer aus der Ferne unter bestimmten Voraussetzungen Code auf dem Server ausführen konnten. Das geht aus einer Stellungsnahme des RubyGems-Teams und aus einem Blogeintrag des Sicherheitsforschers hervor, der das Problem entdeckte. rubygems.org ist eine Online-Plattform für Pakete – so genannte Gems –, die in der Programmiersprache Ruby erstellt werden. Die Sicherheitslücke selbst steckt allerdings im RubyGems-Framework, das unter anderem den Gem-Upload auf rubygems.org aus der Ferne ermöglicht. Sie trägt die Kennung CVE-2017-0903 und besteht in allen RubyGems-Versionen ab 2.0.0. Als Angriffsvektor dient die Art und Weise, wie in Gems enthaltene YAML-Dateien beim Upload auf rubygems.org von RubyGems geparst werden. Ein versierter Angreifer könnte diesen Mechanismus ausnutzen, um Gems zu manipulieren und Ruby-Code auf der Plattform auszuführen.

Anzeige

Das rubygems.org-Team hat die alle gehosteten Gems überprüft und ist sich nach eigener Aussage relativ sicher, dass keine Manipulationen vorgenommen wurden. Um diese auch weiterhin zu unterbinden, sollten RubyGems-Nutzer umgehend auf die aktuelle Version 2.6.14 umsteigen, die die Sicherheitsmechanismen während des Uploads verbessert. Entwickler können sich die vorgenommenen Änderungen auch auf der Entwicklerplattform GitHub anschauen. Für Nutzer der betroffenen Versionen, die nicht umgehend updaten wollen oder können, stehen alternativ auch Patches bereit. (ovw)

1 Kommentar

Themen:

Anzeige
  1. Notfall-Update für Adobe Flash Player – jetzt patchen!

    Adobe

    Eine Sicherheitslücke in Adobes Flash Player ermöglicht die Remote Code Execution. Sie wird bereits aktiv von Angreifern missbraucht. Updates stehen bereit und sollten so schnell wie möglich eingespielt werden.

  2. Mehrere Sicherheitslücken in RubyGems

    Verschlossene Tür, Schloss, Sicherheit

    Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

  3. Sicherheits-Updates für Samba

    Sicherheits-Updates für Samba

    Aktuelle Samba-Updates schließen drei Sicherheitslücken und schützen so vor möglichem Informationsdiebstahl.

  4. Cisco kümmert sich um kritische Lücke in TelePresence Multipoint Control Unit

    Netzwerkkabel

    Angreifer können mit vergleichsweise wenig Aufwand verschiedenen Cisco-Produkte lahmlegen und sogar komplett kapern. Sicherheitsupdates stehen zum Download bereit.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  3. Die Neuerungen von Linux 4.10

    Linux-Kernel 4.10

    Linux 4.10 bringt eine weitere Möglichkeit, um in virtuellen Maschinen den Grafikprozessor des Hosts zu verwenden. Ein RAID-Cache kann die Performance von Festplatten-Arrays steigern. Firefox soll nicht mehr so leicht ruckeln, wenn der Kernel große Datenmengen schreibt. Außerdem unterstützt Linux einen Schlafzustand moderner Notebooks jetzt besser.

  1. Die neue Triumph Tiger 1200

    Zweirad

    Die neue Triumph Tiger 1200 ist eine gründlich renovierte Tiger Explorer. Sie hat vor allem Gewicht verloren und ihr ohnehin schon kräftiger Motor packt jetzt noch bulliger zu. Allerdings verwirrt die Modellvielfalt von nicht weniger als sechs Varianten den unbedarften Kunden

  2. Toyota Hilux 3.0 D-4D Double Cab im Fahrbericht

    Pick-ups haben das Flair von Baustelle, Arbeit und Abenteuer. So natürlich auch der neue Toyota Hilux. Wie er sich auf der Straße und im Gelände schlägt, haben wir mit dem 171 PS starken Top-Modell ausprobiert

  3. Im Test: Ford S-Max 2.0 TDCi mit 180 PS

    Ford

    Der erste Ford S-Max war ein Van, der sich nicht wie einer fuhr. Die zweite Generation, seit September 2015 im Handel, macht einiges anders, wie unsere Ausfahrt gezeigt hat. Ist sie noch immer der Van für alle, die eigentlich keinen wollen?

  4. Im Test: Seat Ateca 1.0 TSI

    Seat Ateca

    Der Kompakt-Klasse droht seit einiger zeit heftige Konkurrenz durch ähnlich große SUV. Bei Seat ist die Verwandtschaft zwischen Leon und Ateca unverkennbar. Wie fährt sich das SUV mit dem 115-PS-Basisbenziner? Ein Test

Anzeige