I ricercatori identificano una pericolosa falla di sicurezza in RubyGems, sistema per la gestione e la distribuzione di pacchetti di programmi e librerie Ruby (“gemme”) che risulta essere a rischio di compromissione anche se vengono impiegati canali di comunicazione sicuri.
La falla, classificata come CVE-2015-3900, consiste nella non corretta validazione di un nome di dominio durante la connessione a un server di gemme tramite la funzionalità Gem Server Discovery, un bug che potrebbe portare a una redirezione arbitraria a un server malevolo con la conseguente installazione di pacchetti contraffatti o contenenti malware.
Il problema persiste anche su canali HTTPS, sottolineano i ricercatori, mentre il numero di installazioni potenzialmente a rischio arriverebbe a circa 438 milioni. Per dimostrare l’estensione del rischio, gli esperti hanno realizzato un server RubyGems in grado di spedire trojan agli utenti.
Oltre a installare una patch correttiva sul codice di RubyGems come contromisura alla falla CVE-2015-3900, esortano i ricercatori, per risolvere in maniera definitiva il rischio di redirezione arbitraria verso domini malevoli è necessario fare uso delle firme digitali sulle gemme per verificarne l’integrità e l’autenticità.
Via | The Register