अलीकडेच बातमीने ती फोडली मध्ये एक गंभीर असुरक्षा ओळखली गेली पॅकेज रेपॉजिटरी rubygems.org (असुरक्षा आधीच CVE-2022-29176 अंतर्गत सूचीबद्ध आहे), जे परवानगी द्या योग्य अधिकाराशिवाय, इतर लोकांचे पॅकेज बदला रेपॉजिटरीमध्ये कायदेशीर पॅकेज यँकिंग करून आणि त्याच नावाची आणि आवृत्ती क्रमांकासह दुसरी फाइल अपलोड करून.
असे नमूद केले आहे "यँक" अॅक्शन हँडलरमधील बगमुळे असुरक्षा आहे, जे हायफन नंतरच्या नावाच्या भागाला प्लॅटफॉर्मचे नाव मानते, ज्यामुळे हायफन वर्णापर्यंत नावाच्या भागाशी जुळणारी बाह्य पॅकेजेस काढणे शक्य झाले.
विशेषतः ऑपरेशनच्या कंट्रोलर कोडमध्ये "यँक", कॉल 'find_by!(full_name: "#{rubygem.name}-#{slug}")' पॅकेजेस शोधण्यासाठी वापरले जात होते, तर काढायची आवृत्ती निश्चित करण्यासाठी "स्लग" पॅरामीटर पॅकेज मालकाकडे पाठवले होते.
"rails-html" पॅकेजच्या मालकाने "1.2.3" आवृत्तीऐवजी "सॅनिटायझर-1.2.3" निर्दिष्ट केले असते, ज्यामुळे ऑपरेशन "rails-html-sanitizer-1.2.3" वर लागू होईल. पॅकेज ″ दुसऱ्या कोणाकडून. »
Rubygems.org साठी एक सुरक्षा सल्लागार काल प्रकाशित करण्यात आला.
अॅडव्हायझरी एका बगशी संबंधित आहे ज्याने दुर्भावनापूर्ण वापरकर्त्याला विशिष्ट रत्नांची खाण करण्याची आणि समान नाव, आवृत्ती क्रमांक आणि भिन्न प्लॅटफॉर्मसह भिन्न फायली अपलोड करण्याची परवानगी दिली.
काढण्याच्या प्रक्रियेतून जात असताना काय चूक झाली हे पाहण्यासाठी सखोल नजर टाकूया. एक सबब म्हणून, मोठ्या प्रमाणावर वापरल्या जाणार्या "रेल्स-एचटीएमएल-सॅनिटायझर" रत्नात अनधिकृत प्रवेश मिळवण्याच्या उद्देशाने आपण "रेल्स-एचटीएमएल" नावाचे रत्न तयार करतो अशा परिस्थितीची कल्पना करूया.
असे नमूद केले आहे तीन अटी पूर्ण केल्या पाहिजेत, या असुरक्षिततेचा यशस्वीपणे उपयोग करण्यासाठी:
- ज्या पॅकेट्सच्या नावात हायफन वर्ण आहे अशा पॅकेटवरच हल्ला केला जाऊ शकतो.
- आक्रमणकर्त्याला हायफन वर्णापर्यंत नावाचा भाग असलेले रत्न पॅक ठेवता आले पाहिजे. उदाहरणार्थ, हल्ला "rails-html-sanitizer" पॅकेजच्या विरोधात असल्यास, आक्रमणकर्त्याने त्यांचे स्वतःचे "rails-html" पॅकेज रेपॉजिटरीमध्ये ठेवले पाहिजे.
- हल्ला केलेले पॅकेज मागील 30 दिवसांत तयार केलेले असावे किंवा 100 दिवसांसाठी अपडेट केलेले नसावे.
समस्या सुरक्षा संशोधकाने ओळखले होते ज्ञात ओपन सोर्स प्रोजेक्ट्समध्ये सुरक्षितता समस्या शोधण्यासाठी HackerOne बाउंटी प्रोग्रामचा एक भाग म्हणून.
समस्या RubyGems.org वर 5 मे रोजी निश्चित केले आणि विकासकांच्या मते, शोषणाच्या खुणा अद्याप ओळखल्या नाहीत गेल्या 18 महिन्यांतील नोंदींमधील असुरक्षा. त्याच वेळी, आतापर्यंत केवळ वरवरचे ऑडिट केले गेले आहे आणि भविष्यात अधिक सखोल ऑडिट करण्याचे नियोजन आहे.
सध्या, आमचा विश्वास आहे की या असुरक्षिततेचा फायदा घेतला गेला नाही.
RubyGems.org रत्न आवृत्ती रिलीज झाल्यावर किंवा काढून टाकल्यावर सर्व रत्न मालकांना ईमेल पाठवते. आम्हाला रत्न मालकांकडून कोणतेही समर्थन ईमेल प्राप्त झाले नाहीत जे सूचित करतात की त्यांचे रत्न अधिकृततेशिवाय उत्खनन केले गेले आहे.
गेल्या 18 महिन्यांतील रत्न बदलांच्या ऑडिटमध्ये या भेद्यतेच्या दुर्भावनापूर्ण वापराची कोणतीही उदाहरणे आढळली नाहीत. या शोषणाच्या कोणत्याही संभाव्य वापरासाठी पुढील लेखापरीक्षणात रुबीजेम्सच्या इतिहासात अधिकृततेशिवाय रत्न ताब्यात घेण्यासाठी या शोषणाचा वापर केल्याचे कोणतेही उदाहरण आढळले नाही. आम्ही असे कधीच घडले नाही याची हमी देऊ शकत नाही, परंतु असे होण्याची शक्यता दिसत नाही.
तुमच्या प्रकल्पांची पडताळणी करण्यासाठी, Gemfile.lock फाइलमधील ऑपरेशन्सच्या इतिहासाचे विश्लेषण करण्याची शिफारस केली जाते. दुर्भावनायुक्त क्रियाकलाप समान नाव आणि आवृत्तीसह किंवा प्लॅटफॉर्म बदलाच्या उपस्थितीत व्यक्त केला जातो (उदाहरणार्थ, जेव्हा पॅकेज xxx-1.2.3 1.2.3 xxx-XNUMX-xxx) वर अद्यतनित केले आहे.
उपाय म्हणून सतत इंटिग्रेशन सिस्टममध्ये किंवा प्रोजेक्ट प्रकाशित करताना लपविलेल्या पॅकेजेसच्या स्पूफिंगच्या विरोधात, विकसकांना बंडलर वापरण्याची शिफारस केली जाते “–फ्रोझन” किंवा “–डिप्लॉयमेंट” पर्यायांसह अवलंबित्व पुष्टी करण्यासाठी.
शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण मधील तपशील तपासू शकता खालील दुवा.