Auf RubyGems.org weist ein Blog-Beitrag auf einen Bug hin, durch den Angreifer Pakete gegen andere austauschen können. Gems, die Bezeichnung für Ruby-Pakete, die einen Bindestrich enthalten, sind wohl davon betroffen.

Am 2. April haben die Plattformbetreiber einen entsprechenden Hinweis erhalten, den Fehler behoben und dabei eine ähnliche Schwachstelle entdeckt, die sie bis zum 4. April entfernten. Alle Pakete, die nach dem 8. Februar 2015 hochgeladen wurden, haben sie zudem überprüft und dabei kein ersetztes gefunden.

Autoren, die Gems mit einem Bindestrich im Namen vor dem 8. Februar 2015 hochgeladen haben, sollten ihre Pakete überprüfen, auch wenn die Wahrscheinlichkeit recht gering ist, dass Angreifer die Lücke unbemerkt ausgenutzt haben. Im Blog-Beitrag findet sich die detaillierte Anleitung.

Seit dem 11. Juni 2014 existiert wohl die erste Angriffsfläche und die zweite seit dem Start der Plattform RubyGems.org. Das Risiko sollte zusätzlich verringert sein, da, unabhängig von der ausgenutzten Schwachstelle, es wohl nicht möglich ist, die ausgetauschten Pakete über den Standardbefehl gem install zu installieren.

Die Schwachstelle ist aber dennoch ein weiterer Warnhinweis, den in einem Projekt verwendeten externen Code genau im Auge zu behalten. Beim Paketmanager npm führte im März zunächst das Entfernen eines winzigen Pakets dazu, dass viele Builds, wie auch dem von Node.js, scheiterten. Kurze Zeit danach wurde eine Sicherheitslücke bekannt, die das Verteilen eines Wurms ermöglichte.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE