RubyGems出现重定向木马漏洞 可影响数百万用户

RubyGems开发者分发平台中出现新漏洞，可将数百万用户暴露于恶意重定向漏洞之下。

该漏洞（CVE-2015-3900，已修复）意味着即使使用了HTTPS协议，客户端依然能够被推向托管着恶意内容的Gem服务器。如果DNS回复跟gem来源来自同一个安全域名，由于RubyGems Gems Server Discovery并没有验证，攻击者还可获得其他的好处。Gem用于软件开发及分发的Ruby库中，并被推向服务器以用于用户安装。

Trustwave安全研究人员Jonathan Claudius表示，大约有4.38亿次安装可受到影响，并且表示应当对gem进行签名以验证其完整性。前十大gem都没有进行签名，其中包括Rails及JSON。

Claudius表示，“Gem Server Discovery功能通过DNS SRV请求找到gem服务器且不要求DNS回复来自跟原始gem来源相同的安全域名，允许重定向至攻击者控制的gem服务器。漏洞允许攻击者将使用HTTPS的RubyGem客户端重定向至由攻击者控制的gem服务器。这样就有效绕过了原始HTTPS gem来源上的HTTPS验证，允许攻击者强迫用户安装恶意/木马化的gem。我们的演示说明即便你正在使用的是签名的gem，你必须使用HighSecurity信任政策，否则因签名的降级攻击，gem即使在中转过程中也会被木马化。”

包括OpenDNS在内的研究团队编写了一个gem木马服务以演示当用户安装gem时，木马如何可被发送。

用户应当更新至2.4.8修复漏洞。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。