Открили су рањивост на РубиГемс.орг која је омогућила замену пакета

Недавно су вести провалиле то Идентификована је критична рањивост у спремиште пакета РубиГемс.орг (рањивост је већ каталогизована под ЦВЕ-2022-29176), што омогућава без одговарајућег овлашћења, заменити туђе пакете у спремишту тако што ћете повући легитимни пакет и на његово место учитати другу датотеку са истим именом и бројем верзије.

Помиње се да рањивост је последица грешке у руковаоцу акцијама „ианк“., који део имена после цртице третира као име платформе, што је омогућило да се покрене уклањање спољних пакета који одговарају делу имена до знака цртице.

Нарочито у коду контролора операције "јанк", позив 'финд_би!(пуно_име: "#{рубигем.наме}-#{слуг}")' је коришћен за претрагу пакета, док је параметар "слуг" прослеђен власнику пакета да одреди верзију коју треба уклонити.

Власник пакета „раилс-хтмл“ је могао да наведе „санитизер-1.2.3“ уместо верзије „1.2.3“, што би проузроковало да се операција примени на „раилс-хтмл-санитизер-1.2.3“ пакет ″ од неког другог. »

Безбедносни савет за Рубигемс.орг је објављен јуче.

Упозорење се односило на грешку која је дозволила злонамерном кориснику да ископа одређене драгуље и отпреми различите датотеке са истим именом, бројем верзије и различитом платформом.

Хајде да погледамо дубље да видимо шта је пошло наопако док смо пролазили кроз процес екстракције. Као изговор, замислимо сценарио где креирамо драгуљ под називом „раилс-хтмл” са намером да добијемо неовлашћени приступ широко коришћеном драгуљу „раилс-хтмл-санитизер”.

Помиње се да морају бити испуњена три услова, да бисте успешно искористили ову рањивост:

  • Напад се може извршити само на пакете који имају цртицу у свом имену.
  • Нападач треба да буде у могућности да постави пакет драгуља са делом имена све до знака цртице. На пример, ако је напад на пакет "раилс-хтмл-санитизер", нападач мора ставити сопствени пакет "раилс-хтмл" у спремиште.
  • Нападнути пакет мора бити креиран у последњих 30 дана или није ажуриран 100 дана.

Проблем идентификован од стране истраживача безбедности као део ХацкерОне програма награда за проналажење безбедносних проблема у познатим пројектима отвореног кода.

Проблем поправљено на РубиГемс.орг 5. маја и према програмерима, још нису идентификовали трагове експлоатације рањивости у евиденцији за последњих 18 месеци. Истовремено, до сада је вршена само површна ревизија, ау будућности се планира дубља ревизија.

Тренутно верујемо да ова рањивост није искоришћена.

РубиГемс.орг шаље е-пошту свим власницима драгуља када се верзија драгуља објави или уклони. Нисмо примили е-поруке за подршку од власника драгуља у којима се наводи да је њихов драгуљ ископан без овлашћења.

Ревизија промена драгуља у последњих 18 месеци није пронашла примере злонамерне употребе ове рањивости. Даљњом ревизијом за било какву могућу употребу овог експлоатације није пронађен ниједан пример да је овај експлоат коришћен за преузимање драгуља без овлашћења у историји РубиГемса. Не можемо гарантовати да се то никада није догодило, али не изгледа вероватно.

Да бисте верификовали своје пројекте, препоручује се да анализирате историју операција у датотеци Гемфиле.лоцк Злонамерна активност се изражава у присуству промена са истим именом и верзијом, или промене платформе (на пример, када пакет ккк-1.2.3 1.2.3 је ажуриран на ккк-XNUMX-ккк).

Као решење против лажирања скривених пакета у системима континуиране интеграције или приликом објављивања пројеката, Програмерима се препоручује да користе Бундлер са опцијама „–замрзнуто“ или „–развршавање“ за потврду зависности.

Коначно, ако сте заинтересовани да сазнате више о томе, детаље можете погледати у следећи линк.


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена.

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.