The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.10.2017 22:12  В RubyGems выявлена удалённо эксплуатируемая уязвимость

В Rubygems, системе управления пакетами для приложений на языке Ruby, выявлена критическая уязвимость (CVE-2017-0903), позволяющая инициировать удалённое выполнение кода на сервере RubyGems.org при загрузке специально оформленного gem-пакета или на системе пользователя при установке gem-пакета. Проблема устранена в выпуске RubyGems 2.6.14.

Уязвимость вызвана ошибкой в коде разбора контрольных сумм для компонентов пакета и связана с возможностью десериализации объектов. Контрольные суммы хранятся в формате YAML и до устранения уязвимости загружались при помощи вызова YAML.load, который автоматически обрабатывает сериализированные объекты на языке Ruby. Злоумышленник может подготовить файл с контрольными суммами, содержащий сериализированные объекты в блоке YAML, что приведёт к выполнению заданного атакующим Ruby-кода при обработке пакета, в том числе на серверах инфраструктуры RubyGems.org. Разработчики проанализировали все пакеты в RubyGems и не нашли следов эксплуатации данной уязвимости в момент выпуска обновления с устранением проблемы.

  1. Главная ссылка к новости (http://blog.rubygems.org/2017/...)
  2. OpenNews: Несколько уязвимостей в RubyGems
  3. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  4. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
  5. OpenNews: Rubygems.org подвергся взлому
  6. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rubygems
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:27, 11/10/2017 [ответить] [смотреть все]
  • +6 +/
    > Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.

    То. что кто-то прочистил им дымоход и опосля подменил свой собственный пакет на чистый, благо RCE есть, им даже в голову не пришло.

     
  • 1.2, anomymous, 23:55, 11/10/2017 [ответить] [смотреть все]
  • +1 +/
    Именно поэтому на*** все PECL'ы, PEAR'ы, NPM'ы, RUBYGEM'ы и прочие места, из которого легко схватить дерьмище в любой проект, вообще об этом не подозревая. Только авторские релизы с гитов, там хотя бы все коммиты трэкаются железно.
     
     
  • 2.3, лютый жабист__, 05:38, 12/10/2017 [^] [ответить] [смотреть все]
  • +4 +/
    >бы все коммиты трэкаются железно.

    Уж прямо железно?

    Лучше взять анси си и написать всё, что надо с нуля.

     
     
  • 3.9, Аноним, 15:15, 12/10/2017 [^] [ответить] [смотреть все]
  • –2 +/
    Достаточно неплохо, хотя SHA1 по современным меркам слабоват Еще подписи есть, ... весь текст скрыт [показать]
     
  • 2.4, ., 08:15, 12/10/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    git commit -amend && git push --force
    Железно, ага!
     
     
  • 3.16, M i M, 23:37, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ничего что при этом создаётся новый коммит с другим хэшем?
     
  • 2.5, Аноним, 11:46, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Репозитории - это плохо Надо скачивать бесплатно без смс не только jquery min j... весь текст скрыт [показать]
     
     
  • 3.6, пох, 12:48, 12/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    дедушка, откуда ты вылез, марш обратно в свой колумбарий!
    bash ему, еще может - язык индейцев доколумбовой америки?

    У нас считается стильно, модно и молодежно динамически загружать код с rawgit! А то ж можно ненароком использовать несвежий код, в который уже два часа не вносили правок непойми кто и зачем!

    > А репозитории не нужны.

    хм, нет, есть у олдовых людей и своя правда. Репозитории, безусловно, не нужны. Современный код должен на ходу собирать себя сам, стягивая запчасти из миллиона неконтролируемых источников - так победим!

     
     
  • 4.8, Аноним, 14:47, 12/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Это и есть альтернатива от борцунов с npm gems А, я понял Нужен gimp-with-gtk-... весь текст скрыт [показать]
     
  • 2.7, Аноним, 14:21, 12/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Небольшая ремарка PECL в этом списке лишний, туда просто так расширение не доба... весь текст скрыт [показать]
     
  • 2.11, Аноним, 18:25, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    как будто в гите и гитхабе нельзя просверлить дырочку ... весь текст скрыт [показать]
     
  • 2.12, Аноним, 18:27, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    gem install gemname -P HighSecurity All dependent gems must be signed and verif... весь текст скрыт [показать]
     
  • 1.10, Аноним, 17:56, 12/10/2017 [ответить] [смотреть все]  
  • +/
    Опять в обработке YAML дыра Выбросьте этот код уже, либо перейдите на другие ст... весь текст скрыт [показать]
     
     
  • 2.15, kewlhaxzor, 23:12, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Выбросьте этот код уже, либо перейдите на другие структуры для хранения данных.

    да, давайте что-нибудь новое, а то этот уже надоело ломать.
    (только не xml, он еще в прошлом веке всем обрыдл)


     
  • 1.13, ваноним, 19:58, 12/10/2017 [ответить] [смотреть все]  
  • +/
    >  Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.

    The RubyGems team audited all Gems, and using the data available to us we can say we have high confidence that no recently published Gems have been impacted, but due to the amount of time this bug has been in production, we cannot say for sure that zero Gems have been impacted.

     
     
  • 2.14, Аноним, 20:09, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    А у них подписи были Или вместо них толпа ехидно хихикающих MITMов, давно поиме... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor