Hiljuti teade sellest aastal tuvastati kriitiline haavatavus pakettide hoidla rubygems.org (haavatavus on juba kataloogitud CVE-2022-29176 all), mis võimaldama ilma nõuetekohase loata, asendada teiste inimeste paketid hoidlas, tõmmates välja legitiimse paketi ja laadides selle asemele teise faili sama nime ja versiooninumbriga.
Seda mainitakse haavatavus on tingitud tõmbumise toimingukäsitleja veast, mis käsitleb sidekriipsu järel olevat nimeosa platvormi nimena, mis võimaldas algatada väliste pakettide eemaldamise, mis vastavad nime osale kuni sidekriipsu märgini.
Eelkõige toimingu kontrolleri koodis "näksima", kõne 'find_by!(täisnimi: "#{rubygem.name}-#{slug}")' kasutati pakettide otsimiseks, samas kui parameeter "slug" edastati paketi omanikule, et määrata eemaldatav versioon.
Paketi "rails-html" omanik oleks võinud versiooni "1.2.3" asemel määrata "sanitizer-1.2.3", mis paneks toimingu rakenduma "rails-html-sanitizer-1.2.3" pakett ″ kelleltki teiselt. »
Eile avaldati Rubygems.org turvateatis.
Nõuanne puudutas viga, mis võimaldas pahatahtlikul kasutajal kaevandada teatud kalliskive ja laadida üles erinevaid faile sama nime, versiooninumbri ja erineva platvormiga.
Vaatame põhjalikumalt, et näha, mis kaevandamisprotsessi ajal valesti läks. Ettekäändena kujutame ette stsenaariumi, kus loome pärli nimega "rails-html", eesmärgiga saada volitamata juurdepääs laialdaselt kasutatavale kalliskivile "rails-html-sanitizer".
Seda mainitakse kolm tingimust peavad olema täidetud, et seda haavatavust edukalt ära kasutada:
- Rünnaku saab sooritada ainult pakettidele, mille nimes on sidekriips.
- Ründaja peaks suutma paigutada kalliskivipaki koos osa nimest kuni sidekriipsuni. Näiteks kui rünnak on paketi "rails-html-sanitizer" vastu, peab ründaja hoidlasse panema oma "rails-html" paketi.
- Rünnatud pakett peab olema loodud viimase 30 päeva jooksul või seda ei ole värskendatud 100 päeva jooksul.
probleem tuvastas turvateadlane osana HackerOne'i pearahaprogrammist, et leida teadaolevates avatud lähtekoodiga projektides turvaprobleeme.
probleem parandatud saidil RubyGems.org 5. mail ja arendajate sõnul ei ole veel ärakasutamise jälgi tuvastanud logide haavatavusest viimase 18 kuu jooksul. Samas on seni tehtud vaid pealiskaudset auditit ning edaspidi on plaanis põhjalikum audit.
Praegu usume, et seda haavatavust ei ole ära kasutatud.
RubyGems.org saadab kõigile kalliskiviomanikele meili, kui kalliskivi versioon avaldatakse või eemaldatakse. Me ei ole saanud kalliskiviomanikelt tugimeile, mis viitaksid sellele, et nende kalliskivi on kaevandatud ilma loata.
Viimase 18 kuu jooksul tehtud kalliskivide muudatuste auditis ei leitud ühtegi näidet selle haavatavuse pahatahtlikust kasutamisest. Edasine auditeerimine selle ärakasutamise võimaliku kasutamise osas ei leidnud RubyGemsi ajaloos ühtegi juhtumit, kus seda ärakasutamist oleks kasutatud kalliskivi ilma loata ülevõtmiseks. Me ei saa garanteerida, et seda pole kunagi juhtunud, kuid see ei tundu tõenäoline.
Projektide kontrollimiseks on soovitatav analüüsida toimingute ajalugu failis Gemfile.lock. Pahatahtlikku tegevust väljendatakse sama nime ja versiooniga muudatuste või platvormi muutmise korral (näiteks kui pakett xxx-1.2.3 1.2.3 on värskendatud versioonile xxx-XNUMX-xxx).
Lahendusena peidetud pakettide võltsimise vastu pidevas integratsioonisüsteemides või projektide avaldamisel, Arendajatel on soovitatav kasutada Bundlerit valikutega “–külmutatud” või “–kasutamine” sõltuvuste kinnitamiseks.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata järgmine link.