11.05.2022 | Обнаружена критическая уязвимость в RubyGems |
Разработчики RubyGems устранили критическую уязвимость, которая могла при определенных обстоятельствах быть использована для удаления и замены гемов на фальшивые версии. RubyGems – менеджер пакетов для языка программирования Ruby, предоставляющий стандартный формат для распространения готовых артефактов Ruby (называемых “гемами”). "Из-за ошибки в действии yank любой неавторизованный пользователь RubyGems.org мог удалять и заменять определенные гемы", – говорится в сообщении разработчиков RubyGems, опубликованном 6 мая 2022 года. Уязвимость CVE-2022-29176 позволяет любому пользователю получить доступ к определенным гемам и заменить их своими файлами с таким же именем, номером версии и разными платформами. Чтобы воспользоваться уязвимостью, злоумышленник должен был контролировать гем с одним или несколькими тире в имени, где слово перед тире – имя гема, созданного в течение 30 дней или не получавшего обновлений более 100 дней. "Например, гем something-provider мог быть захвачен владельцем гема something", – пояснили владельцы проекта. Команда поддержки проекта заявила, об отсутствии доказательств использования уязвимости в дикой природе, а также добавили что не получали никаких писем от владельцев гемов, в которых говорилось об удалении библиотек без разрешения. "Проверка изменений гемов за последние 18 месяцев не обнаружила примеров использования этой уязвимости злоумышленниками", – заявили мейнтейнеры. "В настоящее время проводится более глубокая проверка на предмет возможного использования этого эксплоита". Разработчики RubyGems рассказали про CVE-2022-29176 после того, как NPM устранил несколько уязвимостей в своей платформе, которые могли быть использованы для захвата аккаунтов и публикации вредоносных пакетов. Ранее мы писали про логическую уязвимость в NPM, позволяющую злоумышленникам создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома. |
Проверить безопасность сайта