Nahita vulnerability tao amin'ny RubyGems.org izy ireo izay afaka manolo ny fonosana

Vao tsy ela akory izay ny vaovao no namaky izany Nisy vulnerability lehibe iray hita tao ny fonosana fonosana rubygems.org (Ny vulnerability dia efa voarakitra ao amin'ny CVE-2022-29176), izay Tsy mamela tsy nahazo alalana, soloy ny fonosan'olona ao amin'ny tahiry amin'ny alàlan'ny fisintonana fonosana ara-dalàna ary mampakatra rakitra hafa mitovy anarana sy laharan'ny dikan-teny eo amin'ny toerany.

Voalaza fa ny vulnerability dia noho ny bibikely ao amin'ny "yank" mpitantana hetsika, izay mitondra ny ampahany amin'ny anarana aorian'ny hyphen ho anaran'ny sehatra, izay nahafahana nanaisotra ny fonosana ivelany izay mifanandrify amin'ny ampahany amin'ny anarana ka hatramin'ny toetran'ny hyphen.

Indrindra indrindra ao amin'ny fehezan-dalàna mifehy ny asa "yank", ny antso 'find_by!(full_name: "#{rubygem.name}-#{slug}")' nampiasaina hitadiavana fonosana, raha nafindra tany amin'ny tompon'ny fonosana ny mari-pamantarana "slug" mba hamaritana ny dikan-teny hesorina.

Ny tompon'ny fonosana "rails-html" dia afaka nanondro "sanitizer-1.2.3" fa tsy ny "1.2.3" version, izay mety hahatonga ny fandidiana hihatra amin'ny "rails-html-sanitizer-1.2.3" fonosana ″ avy amin'ny olon-kafa. »

Navoaka omaly ny toro-hevitra momba ny fiarovana ho an'ny Rubygems.org.

Ny toro-hevitra dia mikasika ny bibikely iray izay nahafahan'ny mpampiasa ratsy iray hitrandraka vatosoa sasany ary nampiditra rakitra hafa mitovy anarana, laharana dikan-teny ary sehatra hafa.

Andeha hojerentsika ny zavatra tsy nety nandritra ny fizotran'ny fitrandrahana. Ho fisolokiana, andeha hojerentsika ny scenario iray izay hamoronantsika vatosoa antsoina hoe "rails-html" miaraka amin'ny fikasana hahazo fidirana tsy nahazoana alalana amin'ilay vatosoa "rails-html-sanitizer" be mpampiasa.

Voalaza fa fepetra telo no tsy maintsy fenoina, mba hahombiazana amin'ny fitrandrahana ity vulnerable ity:

  • Ny fanafihana dia tsy azo atao afa-tsy amin'ny fonosana misy tsipika misy tsipika amin'ny anarany.
  • Ny mpanafika dia tokony ho afaka mametraka fonosana vatosoa miaraka amin'ny ampahany amin'ny anarana hatramin'ny toetran'ny hyphen. Ohatra, raha manohitra ny fonosana "rails-html-sanitizer" ny fanafihana dia tsy maintsy mametraka ny fonosana "rails-html" azy manokana ao amin'ny tahiry ny mpanafika.
  • Ny fonosana voatafika dia tsy maintsy noforonina tao anatin'ny 30 andro farany na tsy nohavaozina nandritra ny 100 andro.

Ny olana dia fantatr'ny mpikaroka momba ny fiarovana ao anatin'ny programa bounty HackerOne amin'ny fitadiavana olana momba ny fiarovana amin'ny tetikasa open source fantatra.

Ny olana raikitra tao amin'ny RubyGems.org tamin'ny 5 Mey ary araka ny filazan'ny mpamorona, mbola tsy fantatra ny soritra fanararaotana ny vulnerability ao amin'ny diary nandritra ny 18 volana farany. Etsy andanin’izany, dia ny fanaraha-maso ifotony ihany no natao hatreto, ary ny fanaraha-maso lalindalina kokoa no kasaina hatao amin’ny ho avy.

Amin'izao fotoana izao, mino izahay fa tsy nohararaotina io vulnerable io.

RubyGems.org dia mandefa mailaka ho an'ny tompona vatosoa rehetra rehefa mivoaka na nesorina ny dikan-teny vatosoa. Tsy nahazo mailaka fanohanana avy amin'ireo tompona vatosoa izahay milaza fa notrandrahana tsy nahazoan-dalana ny vatosoany.

Ny fanaraha-maso ny fiovan'ny vatosoa tao anatin'ny 18 volana lasa dia tsy nahitana ohatra momba ny fampiasana ratsy an'io vulnerable io. Ny fanaraha-maso bebe kokoa momba izay mety hampiasana an'ity fitrandrahana ity dia tsy nahitana ohatra momba ity fitrandrahana ity izay nampiasaina haka vatosoa tsy nahazo alalana tamin'ny tantaran'ny RubyGems. Tsy afaka manome antoka izahay fa tsy nisy izany, saingy toa tsy azo inoana izany.

Mba hanamarinana ny tetikasanao, dia asaina manadihady ny tantaran'ny asa ao amin'ny rakitra Gemfile.lock Ny hetsika maloto dia aseho amin'ny fisian'ny fanovana mitovy anarana sy dikan-teny, na fiovan'ny sehatra (ohatra, rehefa fonosana xxx-1.2.3 1.2.3 dia havaozina ho xxx-XNUMX-xxx).

Ho vahaolana manohitra ny fandokoana fonosana miafina amin'ny rafitra fampidirana mitohy na rehefa mamoaka tetikasa, Ny mpamorona dia asaina mampiasa Bundler miaraka amin'ny safidy "–frozen" na "–deployment" hanamarina ny fiankinan-doha.

Farany, raha liana hahafantatra bebe kokoa momba izany ianao, azonao atao ny manamarina ny antsipiriany ao amin'ny rohy manaraka


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

Aoka ho voalohany ny fanehoan-kevitra

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka.

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.