Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 1

Alert Remote Code Execution auf rubygems.org – RubyGems 2.6.14 behebt den Bug

Hosting-Service rubygems.org erlaubte Remote Code Execution

Bild: rubygems.org

Eine Sicherheitslücke in RubyGems ermöglichte versierten Angreifern aus der Ferne, Ruby-Code auf der Hosting-Plattform rubygems.org auszuführen. Ein Update sorgt für Sicherheit.

Der Hosting-Service rubygems.org war bis vergangenen Montag anfällig für eine Sicherheitslücke, über die Angreifer aus der Ferne unter bestimmten Voraussetzungen Code auf dem Server ausführen konnten. Das geht aus einer Stellungsnahme des RubyGems-Teams und aus einem Blogeintrag des Sicherheitsforschers hervor, der das Problem entdeckte. rubygems.org ist eine Online-Plattform für Pakete – so genannte Gems –, die in der Programmiersprache Ruby erstellt werden. Die Sicherheitslücke selbst steckt allerdings im RubyGems-Framework, das unter anderem den Gem-Upload auf rubygems.org aus der Ferne ermöglicht. Sie trägt die Kennung CVE-2017-0903 und besteht in allen RubyGems-Versionen ab 2.0.0. Als Angriffsvektor dient die Art und Weise, wie in Gems enthaltene YAML-Dateien beim Upload auf rubygems.org von RubyGems geparst werden. Ein versierter Angreifer könnte diesen Mechanismus ausnutzen, um Gems zu manipulieren und Ruby-Code auf der Plattform auszuführen.

Das rubygems.org-Team hat die alle gehosteten Gems überprüft und ist sich nach eigener Aussage relativ sicher, dass keine Manipulationen vorgenommen wurden. Um diese auch weiterhin zu unterbinden, sollten RubyGems-Nutzer umgehend auf die aktuelle Version 2.6.14 umsteigen, die die Sicherheitsmechanismen während des Uploads verbessert. Entwickler können sich die vorgenommenen Änderungen auch auf der Entwicklerplattform GitHub anschauen. Für Nutzer der betroffenen Versionen, die nicht umgehend updaten wollen oder können, stehen alternativ auch Patches bereit. (ovw)

1 Kommentar

Themen:

Anzeige
  1. Notfall-Update für Adobe Flash Player – jetzt patchen!

    Adobe

    Eine Sicherheitslücke in Adobes Flash Player ermöglicht die Remote Code Execution. Sie wird bereits aktiv von Angreifern missbraucht. Updates stehen bereit und sollten so schnell wie möglich eingespielt werden.

  2. Mehrere Sicherheitslücken in RubyGems

    Verschlossene Tür, Schloss, Sicherheit

    Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

  3. Sicherheits-Updates für Samba

    Sicherheits-Updates für Samba

    Aktuelle Samba-Updates schließen drei Sicherheitslücken und schützen so vor möglichem Informationsdiebstahl.

  4. Cisco kümmert sich um kritische Lücke in TelePresence Multipoint Control Unit

    Netzwerkkabel

    Angreifer können mit vergleichsweise wenig Aufwand verschiedenen Cisco-Produkte lahmlegen und sogar komplett kapern. Sicherheitsupdates stehen zum Download bereit.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  3. Die Neuerungen von Linux 4.10

    Linux-Kernel 4.10

    Linux 4.10 bringt eine weitere Möglichkeit, um in virtuellen Maschinen den Grafikprozessor des Hosts zu verwenden. Ein RAID-Cache kann die Performance von Festplatten-Arrays steigern. Firefox soll nicht mehr so leicht ruckeln, wenn der Kernel große Datenmengen schreibt. Außerdem unterstützt Linux einen Schlafzustand moderner Notebooks jetzt besser.

  1. WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung

    WLAN

    Sicherheitsforscher haben offenbar kritische Lücken im Sicherheitsstandard WPA2 entdeckt. Sie geben an, dass sich so Verbindungen belauschen lassen.

  2. Kilonova nachgewiesen: Forscher beobachten erstmals direkt Quelle von Gravitationswellen

    Kilonova

    Die größten Detektoren haben schon mehrmals Gravitationswellen als Zeugnisse extremster Ereignisse im All registriert. Nun konnten sie dank ihnen erstmals direkt die Verschmelzung zweier Neutronensterne beobachten. Für Astronomen beginnt eine neue Ära.

  3. Fahrbericht Kia Stinger GT

    "Wer soll das denn kaufen?", fragten die meisten Autofreunde, als sie Bilder von Kias Stinger sahen, denn die Bilder verrieten es nicht. Man muss ihn fahren, dann ist die Antwort glasklar: Freunde der Fahrdynamik

  4. Weniger Belohnung für Miner: Ethereum führt Byzantium-Update ein

    Weniger Belohnung für Miner: Ethereum führt Byzantium-Update ein

    Der erste Teil eines umfangreichen Updates für die Kryptogeldplatfform Ethereum ist offenbar erfolgreich über die Bühne gegangen. Zu den Änderungen gehört eine geringere Belohnung für Miner und die Verschiebung der "Difficulty Bomb".

Anzeige