Waxay ka heleen nuglaanshaha RubyGems.org taas oo u ogolaatay in la beddelo xirmooyinka

Darkcrizt

Daqiiqado 4

Dhawaan warku wuxuu faafiyay taas Nuglaanta halista ah ayaa lagu aqoonsaday kaydka xirmada rubygems.org (nuglaanta ayaa mar horeba lagu soo koobay CVE-2022-29176), kaas oggol yahay iyada oo aan la helin oggolaansho habboon, beddel baakadaha dadka kale gudaha kaydka adiga oo geynaya xirmo sharci ah oo soo rareynaya fayl kale oo magac iyo nambar la mid ah ku yaal meesheeda.

Waxaa lagu xusay Nuglaanta waxaa sabab u ah cilad ku jirta hawl wadeenka "yank"., kaas oo ula dhaqmaya qaybta magaca ka dib jiheynta sida magaca goobta, taas oo suurtogal ka dhigtay in la bilaabo ka saarista baakadaha dibadda ee u dhigma qaybta magaca ilaa jilaha jilbaha.

Gaar ahaan ku jira koodhka xakamaynta ee hawlgalka "yank", wac 'Find_by! (magaca buuxa: "#{rubygem.name}-#{slug}") waxaa loo adeegsaday in lagu raadiyo baakadaha, halka cabbirka "slug" loo gudbiyay milkiilaha xirmada si loo go'aamiyo nooca laga saarayo.

Milkiilaha xirmada "rails-html" wuxuu qeexi karaa "nadiifiye-1.2.3" halkii uu ka ahaan lahaa nooca "1.2.3", taasoo keeni karta in qalliin lagu dabaqo "rails-html-sanitizer-1.2.3" xirmo ″ qof kale ka yimid. »

La-talinta amniga ee Rubygems.org ayaa la daabacay shalay.

Talobixintu waxay khusaysay cilad u ogolaatay isticmaale xaasidnimo ah inuu soo saaro jeex jeexyo gaar ah oo uu soo geliyo faylal kala duwan oo wata magac isku mid ah, nambarka nooca, iyo madal ka duwan.

Aan si qoto dheer u eegno si aan u aragno waxa khaldamay inta lagu guda jiro habka soo saarista. Mar-mar-dhac ahaan, aan qiyaasno dhacdo aan ku abuurno gem loo yaqaan "rails-html" iyadoo ujeedadu tahay helitaanka aan la fasixin ee gem-ga "birta-html-nadiifiye" ee aadka loo isticmaalo.

Waxaa lagu xusay saddex shuruudood waa in la buuxiyaa, si si guul leh looga faa'iidaysto nuglaantan:

  • Weerarku waxa kaliya oo lagu samayn karaa baakidh ay ku qoran yihiin calaamad magacooda.
  • Weeraryahanku waa inuu awoodaa inuu dhigo xidhmo dhagax ah oo ay ku qoran tahay qayb ka mid ah magaca ilaa jilaha jilbaha. Tusaale ahaan, haddii uu weerarku ka soo horjeedo xirmada "rails-html-sanitizer", weeraryahanku waa inuu ku dhejiyaa xirmo iyaga u gaar ah oo ah "rails-html" kaydka.
  • Xirmada la weeraray waa in la abuuray 30-kii maalmood ee la soo dhaafay ama aan la cusboonaysiin 100 maalmood.

Dhibaatada waxaa aqoonsaday cilmi-baare amni iyada oo qayb ka ah barnaamijka abaal-marinta HackerOne ee lagu helo arrimaha amniga ee mashaariicda il furan ee la yaqaan.

Dhibaatada lagu hagaajiyay RubyGems.org Maajo 5 iyo sida laga soo xigtay horumarinta. weli ma aqoonsan raad dhiig-miirashada nuglaanshaha diiwaanka 18 bilood ee la soo dhaafay. Isla markaana waxa ilaa hadda la sameeyay xisaab-xidhka dusha sare oo kaliya, mustaqbalkana waxa la qorsheeyey in hanti-dhawr si qoto-dheer loo sameeyo.

Waqtigan xaadirka ah, waxaan aaminsanahay in nuglaanta aan laga faa'iidaysan.

RubyGems.org waxay u soo dirtaa iimayl dhammaan milkiilayaasha gem marka nooca jawharad la sii daayo ama la saaro. Wax iimaylo ah oo taageero ah kama aannu helin mulkiilayaasha dhagaxa ah ee tilmaamaya in dhagaxooda la miineeyay amar la'aan.

Baadhitaan lagu sameeyay isbeddellada dahabka ah 18-kii bilood ee la soo dhaafay ma helin tusaaleyaal si xun u isticmaalka nuglaantan. Hantidhawrka dheeraadka ah ee isticmaalka suurtogalka ah ee ka faa'iidaysigan lama helin tusaale ka faa'iidaysigan oo loo isticmaalay in lagula wareego dhagax aan fasax loo haysan taariikhda RubyGems. Ma dammaanad qaadi karno inaysan weligeed dhicin, laakiin uma eka inay suurtogal tahay.

Si loo xaqiijiyo mashaariicdaada, waxaa lagu talinayaa in la falanqeeyo taariikhda hawlgallada ee faylka Gemfile.lock Dhaqdhaqaaqa xaasidnimada ah waxaa lagu muujiyaa joogitaanka isbeddelada isla magaca iyo nooca, ama beddelka goobta (tusaale, marka xirmo xxx-1.2.3 1.2.3 waxa loo cusboonaysiiyay xxx-XNUMX-xxx).

Xal ahaan lid ku ah baakadaha qarsoon ee nidaamyada is-dhexgalka joogtada ah ama marka la daabacayo mashaariicda, Horumarinta ayaa lagula talinayaa inay isticmaalaan Bundler oo leh xulashooyinka "-la qaboojiyey" ama "-diridda" si loo xaqiijiyo ku tiirsanaanta.

Ugu dambeyntii, hadaad xiisaynayso inaad waxbadan ka ogaato, waxaad ka eegi kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.