Исправлена критическая уязвимость в RubyGems

ИБ-исследователи из компании Trustwave обнаружили критическую уязвимость в RubyGems, менеджере пакетов для языка программирования Ruby. По словам ведущего ИБ-эксперта Trustwave Джонатана Клаудиуса (Jonathan Claudius), уязвимость являлась критической, так как позволяла злоумышленникам удаленно выполнить код на системе пользователя.

В RubyGems реализована функция Gem Server Discovery, которая использует запрос DNS SRV для обнаружения своих gem-серверов. Эта функция не требует, чтобы DNS-ответы приходили с того же домена, откуда приходят оригинальные gem-пакеты, что позволяет злоумышленникам устанавливать вредоносные gem-пакеты на систему пользователя.

Разработчики RubyGems уже исправили данную уязвимость. Эксперты рекомендуют всем пользователям обновить клиент RubyGems до версии 2.4.8 и более новых.