LINUX.ORG.RU

Устранена уязвимость в RubyGems.org

 , , ,


0

0

2 апреля 2016 года стало известно о уязвимости, которая позволяет неавторизованным пользователям заменить существующие .gem файлы при определённых обстоятельствах. Исправление было опубликовано в этот же день. При дальнейшем рассмотрении был обнаружен похожий вектор атаки, исправление для которого было опубликовано уже 4 апреля. В обоих векторах атаки, атакующий мог использовать специальную комбинацию имени и версии гема, чтобы заменить существуюший .gem файл. Также известно, что .gem файлы загруженные с помощью этого метода не могут быть установлены через стандартную команду gem install. Первая часть этой уязвимости была введена 11 июня 2014, а вторая присутствовала с самого начала.

Все .gem файлы, у которых есть контрольная сумма sha256, были проверены и ни один из них не пострадал. Подсчёт контрольной суммы был введён 8 февраля 2015 года, таким образом файлы, загруженные до этой даты, не имеют контрольной суммы. Так или иначе, если .gem файл был скомпрометирован ранее, нет способа выяснить это.

Файлы с дефисом в имени (например ‘blank-blank’) загруженные между 11 июня 2014 и 2 апреля 2016 были уязвимы. Файлы загруженные между 8 февраля 2015 и 2 апреля 2016 были уже проверены. Если у вас есть версия .gem файла, которая не была проверена, вы должны выполнить следующие действия:

  • Скачать ваш gem.
  • Запустить gem unpack file.gem.
  • Убедиться, что нет никаких неожиданных изменений.
  • Запустить gem spec file.gem.
  • Убедиться, что нет никаких неожиданных изменений в gemspec.

В случае, если gem был скомпрометирован, пожалуйста выполните gem yank для вашего файла, и сообщите об этом команде по обеспечению безопасности как можно скорее, и пожалуйста отправьте ваш .gem файл.

Особая благодарность Eric Chapweske за выявление уязвимости и подробный отчёт. David Radcliffe и Arthur Neves за работу на исправлениями и проверками. Aaron Patterson, Nick Quaranto, André Arko, и Samuel Giddins за ревью и проверку.

>>> Подробности

★★★★★

Проверено: Pinkbyte ()

Жесть, вот и доверяй подобным репам после этого.

DeadEye ★★★★★ ()
Ответ на: комментарий от DeadEye

Какой ты важный, мальчик-пони.

anonymous ()
Ответ на: комментарий от anonymous

О, вот и аноны подъехали. Да будет срач! :3

DeadEye ★★★★★ ()

Скачать ваш gem

у меня нет своего

gray ★★★★★ ()

Файлы с тире в имени (например ‘blank-blank’)

В ‘blank-blank’ нет тире.

psion ()

Кто-то ставит не из репозитариев? ССЗБ.

anonymous ()

Это не уязвимость, это дырища в школоподелке

anonymous ()

Решето! И эти люди рассказывают мне про дырявость php

r_asian ☆☆☆ ()

И они еще будут на ноду гнать

ostin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.