RubyGems 包管理器中存在严重的 Gems 接管漏洞

最新推荐文章于 2023-08-01 11:13:43 发布
最新推荐文章于 2023-08-01 11:13:43 发布
阅读量214 收藏
点赞数
文章标签: 安全 java xss 信息安全 javascript
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247511738&idx=1&sn=3e4c8ab0a54ec620b25047d6fd043b3e&chksm=ea949fd0dde316c6a3cb31463162bcb530954e1a1d222552dd508d94d71fa7285660dda4c0a7&scene=126&&sessionid=0
版权

85663e0e34b58738b4e2b0597fc31b05.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

RubyGems 包管理器的维护人员修复了一个严重漏洞 (CVE-2022-29176),在一定条件下,它本可被滥用于删除gems 并以恶意版本取而代之。

85eebb68813758eb2b43ad8322639272.png

2022年5月6日,RubyGems 发布安全公告指出,“由于 yank 操作中存在一个漏洞,因此任何 RubyGems.org 用户都能越权删除并取代某些gems。”

就像 npm 之于 JavaScript以及pip 之于 Python,RubyGems 是一款 Ruby编程语言的包管理器和gem托管服务,是含有超过17.15万个库的存储库。

简言之,该漏洞可使任何人拉取某些gem 并上传名称一致、版本号相同和平台不同的不同文件。不过,要实现这一目的,gem 的名称中需要具有一个或多个破折号,而破折号前面是受攻击者控制的gem的名称,这个名称是30天内创建的或者在100多天内未更新。

项目所有人解释称,“例如,’something-provider’ 这个gem 本可被’something’ 这一gem 接管。“

维护人员指出,目前尚未发现该漏洞已遭在野利用,且并未收到gem 所有人的支持邮件警告他们在未经授权的情况下删除这些库。维护人员表示,“从对18个月依赖gem变更的审计来看,并未发现该漏洞遭恶意利用的迹象。目前正在对任何使用该exploit的可能情况进行更深入的审计。”

前不久,NPM 修复了多个缺陷,它们可被用于发动多种接管账户攻击并发布恶意包。其中最主要的攻击是包植入攻击,恶意人员仅需在维护人员不知情的情况下将这些恶意库分配给受信任的热门维护人员,就可将恶意库当作合法库进行传递。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

92000a461061b39157f2eafaef08435c.png

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

谈谈现代软件供应链的发展及攻击应对方法

700多个恶意误植域名库盯上RubyGems 仓库

RubyGems出现重定向木马漏洞 可影响数百万用户

开源组件 Netatalk 存在多个严重漏洞,Synology 多款产品受影响

开源组件存在高危漏洞,可导致在谷歌 VirusTotal 执行RCE

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源的 Snort 入侵检测系统中存在高危漏洞

开源工具 PrivateBin 修复XSS 漏洞

开源网站内容管理系统Micorweber存在XSS漏洞

开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

刚刚,WordPress 内容管理系统核心被曝未修复漏洞

内容 管理系统逐浪修复多个严重漏洞

原文链接

https://thehackernews.com/2022/05/critical-gems-takeover-bug-reported-in.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

525dd2031751dcd6fa34616f734a2785.png

817da79b0b5aa86640e5e4f8e91151d7.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   7f6644c10deacfc399304e532b2d4ed0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Rubygem管理器的用法及用bundler来管理多版本的gem
01-03
gem常用命令 gem -v # 查看RubyGems软件的版本 gem help #显示RubyGem使用帮助 gem help example #列出RubyGem命令一些使用范例 gem install [gemname] # 安装指定gem,程序先从本机查找gem并安装,如果本地没有,则从远程gem安装。 gem install -l [gemname] # 仅从本机安装gem gem install -r [gemname] # 仅从远程安装gem gem install [gemname] --version=[ver] # 安装指定版本的gem gem uninst
cocoapods提示: While executing gem ... (Gem::FilePermissionError)
Mackellen的专栏
02-15 945
ERROR: While executing gem ... (Gem::FilePermissionError) You don't have write permissions for the /System/Library/Frameworks/Ruby.framework/Versions/2.6/usr/lib/ruby/gems/2.6.0 directory.
影响分析:RubyGems未授权访问漏洞(CVE-2022-29176)
weixin_49715102的博客
07-11 457
2022年5月6日,RubyGems披露存在一个可导致未授权访问的漏洞(CVE-2022-29176),该漏洞的CVSS评分为9.9。 RubyGems发布安全公告指出,“由于 yank 操作存在一个漏洞,因此任何 RubyGems.org 用户都能越权删除并取代某些gems。” 本篇文章将分析CVE-2022-29176漏洞的性质,带来的影响评估和事件分析。...
【史上最坑】研究puppetdashboard技术的一路坎坷.....
延瓒
05-25 774
相关的部署文档: https://blog.csdn.net/Michael__One/article/details/123648852 https://max.book118.com/html/2017/1216/144411164.shtm https://www.wenjiangs.com/doc/ocnwmldf http://yum.puppetlabs.com/eol-releases/index.html https://blog.51cto.com/yangzhiming/2161105
Ruby gem 更新错误解决方案
毛祖秋的专栏
10-24 753
<br />问题:Ruby gem 更新错误<br />-ERROR:  While executing gem ... (Gem::RemoteSourceException)<br /> <br />解决方案:<br />直接到http://rubyforge.org/frs/?group_id=126 下载最新的版本。运行Setup.rb安装。<br /> <br />据说设置代理服务器能解决这个问题,但是我找了半天也没找到成功的代理服务器。不如下载安装来得快。
rubygems ruby 管理
08-06
RubyGems是Ruby编程语言的一个核心组成部分,它提供了一个方便的管理和分发系统,使得开发者可以轻松地安装、发布和管理Ruby库和程序。在Ruby社区,RubyGems是共享代码和模块化开发的标准方式。本文将深入探讨...
Rubygem管理的使用及gem源搭建教程
09-21
RubyGems是Ruby世界管理工具,gem命令使用起来就如同Linux的apt与yum一样,也可以构建自己的gem源,下面就带大家一起来学习Rubygem管理的使用及gem源搭建教程
redis ruby gems离线安装集群相关.rar
07-03
含redis-3.2.11.tar.gz、ruby-2.3.8.tar.gz、rubygems-3.0.4.tgz、redis-3.2.1.gem离线安装,亲测有效 redis安装步骤:https://blog.csdn.net/hitits/article/details/94588433 ruby安装步骤:...
创建redis集群所需rubygems-3.1.4.zip
10-14
rubygems-3.1.4.zip,RubyGems(简称 gems)是一个用于对 Ruby组件进行打Ruby系统。 它提供一个分发 Ruby 程序和库的标准格式,还提供一个管理 程序安装的工具。 简单理解就是ruby运行时,需要的各种插件...
Appium环境搭建(Mac版)
weixin_30861459的博客
10-27 233
一、安装Java 1)下载适合的软件,选择macOS对应的版本,下载链接如下: http://www.oracle.com/technetwork/java/javase/downloads/jdk10-downloads-4416644.html 注意:Mac版的需下载.dmg结尾的安装 2)双击下载文件,依次安装 3)安装完成可在终端检查,直接输入:java -version,若...
Ruby学习笔记之gem 命令详解
01-20
ruby -v #查看ruby 版本 ruby -e ”require”watir”; puts Watir::IE::VERSION” #查看watir版本 rvm list known #列出已知的ruby版本 rvm install 1.9.3 rvm use 1.9.3 | rvm use system rvm use 1.9.3 –default rvm list #列出本地ruby版本 rvm remove 1.9.2 具体详情见RVM实用指南  https://ruby-china.org/wiki/rvm-guide gem -v #gem版本 gem source #gem
RubyGems(Ruby 管理器)
火星男孩的分享空间
08-19 739
参考: Ruby RubyGems Ruby RubyGems RubyGems 是 Ruby 的一个管理器,它提供一个分发 Ruby 程序和库的标准格式,还提供一个管理程序安装的工具。 RubyGems 旨在方便地管理 gem 安装的工具,以及用于分发 gem 的服务器。这类似于 Ubuntu 下的apt-get, Centos 的 yum,Python 的 pip。 RubyGems大约创建于2003年11月,从Ruby 1.9版起成为Ruby标准库的一部分。 如果你的 Ruby
109 Ruby Gem【Rails后端开发训练营】
Ruby Tips
11-25 541
什么是 Gem RubyGems,通常简称为 Gems,是可以下载、安装和在 Ruby 程序或从命令行使用的代码gem 命令管理你的 Gems;自 1.9 版以来的所有 Ruby 版本都 gem 作为标准安装的一部分提供。因此,如果你使用的是现代版本的 Ruby,你可能不需要做任何特殊的事情来获得 RubyGems。 有数以千计的 Gems,你可能已经熟悉其的一些: rubocop:这个 Gem 会检查你的代码是否存在 Ruby 风格指南违规和其他潜在问题。 pry:这个 Gem 有助于调试 Ru
Rubygem是什么
我是guyue,guyue就是我O(∩_∩)O
02-06 5617
gem是什么 - 昭哥的博客 - 博客频道 - CSDN.NET  http://blog.csdn.net/lecool/article/details/50260575 Gem解释:        RubyGems软件允许您轻松下载、安装和使用ruby在您的系统软件。 这个软件被称为“Gem”和含一个Ruby应用程序或库。        Gem
在windows下安装ruby使用gem
最新发布
大河之犬的博客
08-01 2257
以用 gem 安装 wpscan 为例,直接在命令行输入。国外的源访问太慢,我们换国内的源。添加源:(清华大学源)在安装的时候,请勾选。
rubygem,rails之间的关系?
一头雾水的Blog
07-29 2456
rubygem,rails之间的关系? 简单点说:Ruby是一种脚本语言,Gem是基于Ruby的一些开发工具,Rails也算是一组Gem,专门用来做网站的。不同的Gem可能会依赖不同的Ruby版本,当然,通常来讲,新版本特性更多,速度更多,用起来更爽。 语言标准 编辑Ruby的变量有一定的规则,以$开头的一定是全局变量,以@开头的都是实例变量,而以@@开头的是类变量。常数
CVE-2020-27986(SonarQube敏感信息泄露)检测脚本
dreamthe的博客
12-01 2588
我自己写的一个简单检测CVE-2020-27986漏洞的脚本。仅供参考 #!/usr/bin/env python3 # -*- coding: utf-8 -*- # author: trance # datetime: 2021/11/29 0029 17:08 import requests def request_one(url1, login1, password1, headers1): data = {"login": login1, "password": password
如果gem因权限错误而失败,如何安装gem或更新RubyGems
w36680130的博客
04-24 1269
I'm trying to install a gem using gem install mygem or update RubyGems using gem update --system ,
Ruby 2.4.6 发布,修复管理器 RubyGems 安全漏洞
weixin_33828101的博客
04-02 85
Ruby 2.4.6 发布了,此版本修复了 20 多个 bug,其管理器RubyGems 的几个安全漏洞: CVE-2019-8320:解压 tar 时使用符号链...
bundle config mirror.https://rubygems.org https://gems.ruby-china.combundle install --without development test 替换成这个也下载不了
06-08
如果替换了镜像源仍然无法下载,可能是其他原因导致的。你可以尝试以下步骤来解决问题: 1. 检查网络连接是否正常,确保可以访问互联网; 2. 确认你的 RubyGems 版本是否较旧,如果是,可以尝试更新 RubyGems; 3. 清除本地 Gem 缓存,可以使用命令 `gem clean` 来清除; 4. 重新安装 bundler,可以使用命令 `gem install bundler` 来重新安装。 如果以上步骤仍然无法解决问题,你可以尝试搜索相关错误信息或者在 RubyGems 的官方论坛上发帖求助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值