Fuair ​​​​siad amach leochaileacht i RubyGems.org a cheadaigh pacáistí a athsholáthar

Le déanaí bhris an nuacht é sin Aithníodh leochaileacht chriticiúil i an stór pacáiste rubygems.org (tá an leochaileacht catalógaithe cheana féin faoi CVE-2022-29176), a permite gan údarú ceart, pacáistí daoine eile a athsholáthar sa stór trí phacáiste dlisteanach yanking agus uaslódáil comhad eile leis an ainm céanna agus uimhir leagain ina áit.

Luaitear go tá an leochaileacht mar gheall ar fhabht sa láimhseálaí gníomhaíochta "yank"., a dhéileálann leis an gcuid den ainm tar éis an fleiscín mar ainm an ardáin, rud a d'fhág gur féidir tús a chur le deireadh a chur le pacáistí seachtracha a mheaitseálann an chuid den ainm suas go dtí an carachtar fleiscín.

Go háirithe i gcód rialaitheora na hoibríochta "yank", an glaoch 'find_by!(lán_ainm: "#{rubygem.name} -#{slug})' Baineadh úsáid as chun cuardach a dhéanamh ar phacáistí, agus cuireadh an paraiméadar "sluga" ar aghaidh chuig úinéir an phacáiste chun an leagan atá le baint a chinneadh.

D'fhéadfadh go mbeadh "sanitizer-1.2.3" sonraithe ag úinéir an phacáiste "rails-html" in ionad an leagan "1.2.3", rud a chuirfeadh an oibríocht i bhfeidhm ar an "rails-html-sanitizer-1.2.3" pacáiste ″ ó dhuine eile. »

Foilsíodh comhairleoir slándála do Rubygems.org inné.

Bhain an comhairleoir le fabht a chuir ar chumas úsáideoir mailíseach GEMS áirithe a mhianadóireacht agus comhaid éagsúla a uaslódáil leis an ainm céanna, uimhir an leagain agus ardán difriúil.

Breathnaímis níos doimhne lena fheiceáil cad a chuaigh mícheart agus sinn ag dul tríd an bpróiseas eastósctha. Mar leithscéal, déanaimis cás a shamhlú ina gcruthóimid gem ar a dtugtar “ráillí-html” agus é ar intinn againn rochtain neamhúdaraithe a fháil ar an ngeam “ráillí-html-sanitizer” a úsáidtear go forleathan.

Luaitear go ní mór trí choinníoll a chomhlíonadh, chun leas rathúil a bhaint as an leochaileacht seo:

  • Ní féidir an t-ionsaí a dhéanamh ach ar phaicéid a bhfuil carachtar fleiscín acu ina n-ainm.
  • Ba cheart go mbeadh ionsaitheoir in ann paca géama a bhfuil cuid den ainm air suas go dtí an carachtar fleiscín. Mar shampla, má tá an t-ionsaí i gcoinne an phacáiste "rails-html-sanitizer", ní mór don ionsaitheoir a phacáiste "rails-html" féin a chur sa stór.
  • Caithfidh an pacáiste ionsaí a bheith cruthaithe le 30 lá anuas nó gan a bheith nuashonraithe le 100 lá.

An fhadhb a shainaithin taighdeoir slándála mar chuid de chlár bounty HackerOne chun saincheisteanna slándála a aimsiú i dtionscadail foinse oscailte aitheanta.

An fhadhb seasta ag RubyGems.org an 5 Bealtaine agus de réir na bhforbróirí, nach bhfuil rianta saothraithe aitheanta acu go fóill den leochaileacht sna logaí le 18 mí anuas. Ag an am céanna, níl ach iniúchadh superficial déanta go dtí seo, agus tá iniúchadh níos doimhne beartaithe sa todhchaí.

Faoi láthair, creidimid nár baineadh leas as an leochaileacht seo.

Seolann RubyGems.org ríomhphost chuig gach úinéir gEM nuair a scaoiltear nó nuair a bhaintear leagan gem. Ní bhfuaireamar aon r-phoist tacaíochta ó úinéirí géamaí ag tabhairt le fios go ndearnadh a ngream a bhaint gan údarú.

Níor aimsíodh aon samplaí d'úsáid mhailíseach na leochaileachta seo in iniúchadh ar athruithe gEM le 18 mí anuas. Níor aimsíodh aon iniúchadh ar aon úsáid a d’fhéadfaí a bhaint as an tsaothrú seo ar an shaothrú seo a bheith á úsáid chun seilbh a ghlacadh ar sheud gan údarú i stair RubyGems. Ní féidir linn a ráthú nár tharla sé riamh, ach ní cosúil go bhfuil sé dóchúil.

Chun do thionscadail a fhíorú, moltar anailís a dhéanamh ar stair na n-oibríochtaí sa chomhad Gemfile.lock Cuirtear gníomhaíocht mhailíseach in iúl i láthair athruithe leis an ainm agus an leagan céanna, nó athrú ardán (mar shampla, nuair a bhíonn pacáiste xxx-1.2.3 ann). .1.2.3 a nuashonrú go xxx-XNUMX-xxx).

Mar réiteach in aghaidh pacáistí folaithe a spoofing i gcórais lánpháirtithe leanúnaigh nó agus tionscadail á bhfoilsiú, Moltar d'fhorbróirí Bundler a úsáid leis na roghanna “–reoite” nó “–imscaradh” chun spleáchais a dhearbhú.

Mar fhocal scoir, má tá suim agat níos mó a fháil amach faoi, is féidir leat na sonraí a sheiceáil sa nasc seo a leanas.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú.

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.