Ib qho teeb meem tseem ceeb (CVE-2022-29176) tau raug txheeb xyuas nyob rau hauv RubyGems.org pob repository, uas tso cai, tsis muaj txoj cai tsim nyog, los hloov qee tus neeg lub pob hauv lub chaw cia khoom los ntawm kev pib lub yank ntawm pob khoom raug cai thiab thauj khoom hauv nws qhov chaw. lwm cov ntaub ntawv nrog tib lub npe thiab tus lej version.
Yuav kom siv tau qhov tsis zoo, peb yuav tsum ua kom tiav:
- Qhov kev tawm tsam tuaj yeem tsuas yog nqa tawm ntawm cov pob ntawv uas muaj hyphen hauv lawv lub npe.
- Tus neeg tawm tsam yuav tsum tuaj yeem tso lub pov haum pob nrog ib feem ntawm lub npe ua ntej tus cim hyphen. Piv txwv li, yog tias qhov kev tawm tsam nyob rau ntawm pob "rails-html-sanitizer", tus neeg tawm tsam yuav tsum tso nws tus kheej "rails-html" pob rau hauv qhov chaw cia khoom.
- Cov pob raug tawm tsam yuav tsum tau tsim nyob rau hauv 30 hnub dhau los lossis tsis hloov kho rau 100 hnub.
Qhov tsis zoo yog tshwm sim los ntawm qhov ua yuam kev hauv "yank" tus neeg ua haujlwm, uas txhais tau hais tias ib feem ntawm lub npe tom qab lub hyphen raws li lub npe ntawm lub platform, uas ua rau nws muaj peev xwm pib tshem tawm cov pob txawv teb chaws uas haum rau ib feem ntawm lub npe. ua ntej lub hyphen. Tshwj xeeb, nyob rau hauv "yank" tus tuav haujlwm code, 'find_by!(full_name: "#{rubygem.name}-#{slug}")" hu tau siv los nrhiav cov pob, thaum lub "slug" parameter tau dhau los ntawm tus tswv pob los txiav txim siab version yuav raug tshem tawm. Tus tswv ntawm lub pob "rails-html" tuaj yeem hais qhia "sanitizer-1.2.3" es tsis yog version "1.2.3", uas yuav ua rau kev ua haujlwm raug siv rau lwm tus lub pob "rails-html-sanitizer-1.2.3" ".
Qhov teeb meem tau txheeb xyuas los ntawm tus kws tshawb fawb txog kev ruaj ntseg uas yog ib feem ntawm HackerOne qhov kev pabcuam nyiaj txiag rau kev nrhiav teeb meem kev nyab xeeb hauv cov haujlwm qhib qhov paub. Qhov teeb meem tau kho nyob rau hauv RubyGems.org thaum lub Tsib Hlis 5 thiab raws li cov neeg tsim khoom, lawv tseem tsis tau txheeb xyuas qhov muaj txiaj ntsig ntawm kev siv qhov tsis zoo hauv cov ntawv teev tseg hauv 18 lub hlis dhau los. Nyob rau tib lub sijhawm, tsuas yog ib qho kev tshuaj ntsuam xyuas sab nraud tau ua tiav txog tam sim no thiab kev tshawb xyuas qhov tob ntxiv yog npaj rau yav tom ntej.
Txhawm rau txheeb xyuas koj cov haujlwm, nws raug nquahu kom txheeb xyuas keeb kwm ntawm kev ua haujlwm hauv Gemfile.lock cov ntaub ntawv; kev ua phem tau tshwm sim thaum muaj kev hloov pauv nrog kev khaws cia ntawm lub npe thiab version lossis hloov pauv ntawm lub platform (piv txwv li, thaum lub gemname -1.2.3 pob yog hloov kho rau gemname-1.2.3-java). Raws li kev daws teeb meem los tiv thaiv cov pob khoom hloov pauv hauv kev sib koom ua ke txuas ntxiv lossis thaum tshaj tawm cov haujlwm, cov neeg tsim khoom raug pom zoo kom siv Bundler nrog cov kev xaiv "-frozen" lossis "-deployment" los txhim kho kev vam khom.
Tau qhov twg los: opennet.ru