RubyGems 包管理器中存在严重的 Gems 接管漏洞

RubyGems 包管理器的维护人员修复了一个严重漏洞 (CVE-2022-29176)，在一定条件下，它本可被滥用于删除gems 并以恶意版本取而代之。

2022年5月6日，RubyGems 发布安全公告指出，“由于 yank 操作中存在一个漏洞，因此任何 RubyGems.org 用户都能越权删除并取代某些gems。”

就像 npm 之于 JavaScript以及pip 之于 Python，RubyGems 是一款 Ruby编程语言的包管理器和gem托管服务，是含有超过17.15万个库的存储库。

简言之，该漏洞可使任何人拉取某些gem 并上传名称一致、版本号相同和平台不同的不同文件。不过，要实现这一目的，gem 的名称中需要具有一个或多个破折号，而破折号前面是受攻击者控制的gem的名称，这个名称是30天内创建的或者在100多天内未更新。

项目所有人解释称，“例如，’something-provider’ 这个gem 本可被’something’ 这一gem 接管。“

维护人员指出，目前尚未发现该漏洞已遭在野利用，且并未收到gem 所有人的支持邮件警告他们在未经授权的情况下删除这些库。维护人员表示，“从对18个月依赖gem变更的审计来看，并未发现该漏洞遭恶意利用的迹象。目前正在对任何使用该exploit的可能情况进行更深入的审计。”

前不久，NPM 修复了多个缺陷，它们可被用于发动多种接管账户攻击并发布恶意包。其中最主要的攻击是包植入攻击，恶意人员仅需在维护人员不知情的情况下将这些恶意库分配给受信任的热门维护人员，就可将恶意库当作合法库进行传递。

https://thehackernews.com/2022/05/critical-gems-takeover-bug-reported-in.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~