The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Несколько уязвимостей в RubyGems"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Несколько уязвимостей в RubyGems"  +/
Сообщение от opennews (??) on 30-Авг-17, 02:28 
В Rubygems (http://Rubygems.org,), системе управления пакетами для приложений на языке Ruby, устранено (https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulner.../) несколько уязвимостей. Проблемы устранены в RubyGems 2.6.13  и пока не исправлены в релизах Ruby 2.2.7, 2.3.4  и 2.4.1. Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи. Среди исправленных уязвимостей:


-  Уязвимость в инсталляторе, позволяющая при установке специально оформленного пакета переписать произвольные файлы в системе;
-  Уязвимость, связанная с применением escape-последовательностей;
-  Возможность подмены результата DNS-запроса;
-  DoS-уязвимость в реализации команды "query".

URL: https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulner.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=47094

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Несколько уязвимостей в RubyGems"  –3 +/
Сообщение от Аноним (??) on 30-Авг-17, 02:28 
пошли по пути npm leftpad... ничему не учаться...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Несколько уязвимостей в RubyGems"  +1 +/
Сообщение от Аноним (??) on 30-Авг-17, 08:39 
Хипстеры везде одинаковые. Надутые, самонадеяные, готовые свернуть горы. И делающие детские ошибки во всем чем можно. Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Несколько уязвимостей в RubyGems"  +2 +/
Сообщение от Аноним email(??) on 30-Авг-17, 10:05 
Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут. А в некотрые языки _встраивают_ возможность забирать гов*ецо прямо с github.com. Хорошо, что до рубей этот позор не добрался... wait, o shi- у них же есть ruby gem... Хипстота... она везде, неужели мы обречены ходить по жиденькому как корова по льду?... потому что жизнь - боль и деградация неизбежна :(
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Несколько уязвимостей в RubyGems"  +2 +/
Сообщение от Аноним (??) on 30-Авг-17, 10:21 
> Ну какие чесуммы? они даже до lts-версий библиотек додуматься не могут.

в слове lts третья буква означает support - а у хипсторов ни желания, ни времени на сопровождение. Скорей-скорей, прогресс двигай давай, о совместимости не думай, это удел лохов!


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Несколько уязвимостей в RubyGems"  +/
Сообщение от Аноним (??) on 30-Авг-17, 10:06 
> И делающие детские ошибки во всем чем можно.

потому что считают что мир до них - "окаменелое г-но", и тратить время на его изучение незачем.

> Будет удивительно если они хотя-бы додумались проверять подписи пакетов и чексумы файлов.

а толку? Приедет тебе подписанный хз кем (ибо crowd-development) пакет, а в нем /etc/shadow вместе с passwd. Или сразу вообще sshd. И чексумма правильная, я ее щас правильно посчитаю.

Удивительно было бы, если бы они додумались интегрировать свои корявки в существующие системы управления пакетами (которые в том числе умеют их обломать при конфликтах файлов), а не мир с нуля пересоздавать. Но из новых-модных хипста-языков это не умеет ни один, зато каждый изобрел по велосипеду, некоторые даже по два - один без колес, второй без руля (pecl/pear, хехе). Впрочем, перл вот умел - и никто кроме freebsd так и ниасилил использовать, так что это обоюдно - модные хипста-системы тоже ни в чем таком не заинтересованы и не были никогда.

Ставьте все в хомяк. Юзера ruby-run, когда навернется - откатите снапшот его хомяка. Ой..у вас не zfs? Ну тогда трахайтесь с регулярными архивациями.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Несколько уязвимостей в RubyGems"  –1 +/
Сообщение от Аноним (??) on 31-Авг-17, 01:55 
такое г этот rubygems. Я вот уже пятый год воюю на работе чтобы избавиться от ruby, nodejse и тому подобной хипстоты типа mongodb. пока безуспешно... а оно и понятно хипстеры дешевле. Походу так и будим мы всем миром в полном... "жиже"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Несколько уязвимостей в RubyGems"  +/
Сообщение от Аноним (??) on 31-Авг-17, 06:34 
> Я вот уже пятый год воюю на работе

Это вместо того, чтобы найти другого работодателя?

http://static.diary.ru/userdir/1/0/6/0/1060566/74602406.jpg

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Несколько уязвимостей в RubyGems"  +/
Сообщение от Lolwat on 31-Авг-17, 16:45 
Ищю я, потихоньку но $120К + бонус не так легко то найти. Да и меня твои на мыло тоже как-то не очень люблю. А туда куда я очень хочу мня не пускают - требуют гражданство. Так что походу так и буду я этот крест с ссылки таскать
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Несколько уязвимостей в RubyGems"  +/
Сообщение от Lolwat on 31-Авг-17, 16:45 
> Ищю я, потихоньку но $120К + бонус не так легко то найти.
> Да и меня твои на мыло тоже как-то не очень люблю.
> А туда куда я очень хочу мня не пускают - требуют
> гражданство. Так что походу так и буду я этот крест с
> ссылки таскать

*шило

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Несколько уязвимостей в RubyGems"  +1 +/
Сообщение от Аноним (??) on 31-Авг-17, 17:46 
Как будто, во всех других языках и пакет менеджеров не бывает уязвимостей, за новость спасибо пойду обновлю.
У меня руби в докере, я хз, что он там страшного может натворить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Несколько уязвимостей в RubyGems"  +/
Сообщение от Led (ok) on 01-Сен-17, 23:17 
> У меня руби в докере

Запущенный случай... Такое не лечится... какое-то время можно протянуть благодаря смузи...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру