다른 사람의 패키지 스푸핑을 허용하는 RubyGems.org의 취약점

RubyGems.org 패키지 저장소에서 심각한 취약점(CVE-2022-29176)이 확인되었습니다. 이 취약점을 통해 적절한 권한 없이 합법적인 패키지를 끌어내고 그 자리에 로드하여 저장소에 있는 다른 사람의 패키지를 교체할 수 있습니다. 이름과 버전 번호가 같은 다른 파일.

취약점을 성공적으로 악용하려면 다음 세 가지 조건을 충족해야 합니다.

• 공격은 이름에 하이픈이 포함된 패킷에서만 수행될 수 있습니다.
• 공격자는 하이픈 문자 앞에 이름의 일부가 포함된 gem 패키지를 배치할 수 있어야 합니다. 예를 들어, "rails-html-sanitizer" 패키지에 대한 공격이라면 공격자는 자신의 "rails-html" 패키지를 저장소에 배치해야 합니다.
• 공격받는 패키지는 지난 30일 이내에 생성되었거나 100일 동안 업데이트되지 않았어야 합니다.

이 취약점은 하이픈 뒤의 이름 부분을 플랫폼 이름으로 해석하는 "yank" 작업 핸들러의 오류로 인해 발생합니다. 이로 인해 이름 부분과 일치하는 외부 패키지 삭제를 시작할 수 있게 되었습니다. 하이픈 앞에. 특히 "yank" 핸들러 코드에서는 'find_by!(full_name: "#{rubygem.name}-#{slug}")" 호출을 사용하여 패키지를 찾은 반면 "slug" 매개변수는 제거할 버전을 결정하려면 패키지 소유자가 필요합니다. "rails-html" 패키지의 소유자는 버전 "1.2.3" 대신 "sanitizer-1.2.3"을 지정할 수 있으며, 이로 인해 다른 사람의 패키지 "rails-html-sanitizer-1.2.3"에 작업이 적용됩니다. ".

이 문제는 알려진 오픈 소스 프로젝트에서 보안 문제를 찾기 위한 HackerOne 포상금 프로그램의 일부로 보안 연구원에 의해 확인되었습니다. 이 문제는 5월 18일 RubyGems.org에서 해결되었으며 개발자에 따르면 지난 XNUMX개월 동안 로그에서 취약점 악용 흔적을 아직 식별하지 못했습니다. 동시에, 지금까지는 표면적인 감사만 실시되었으며 앞으로는 보다 심층적인 감사가 계획되어 있습니다.

프로젝트를 확인하려면 Gemfile.lock 파일에서 작업 내역을 분석하는 것이 좋습니다. 이름과 버전이 보존되거나 플랫폼이 변경된 경우(예: gemname이 변경된 경우) 악의적인 활동이 나타납니다. -1.2.3 패키지가 gemname-1.2.3-java로 업데이트되었습니다. 지속적인 통합 시스템에서 또는 프로젝트를 게시할 때 숨겨진 패키지 대체를 방지하기 위한 해결 방법으로 개발자는 종속성을 수정하기 위해 "-frozen" 또는 "-deployment" 옵션과 함께 Bundler를 사용하는 것이 좋습니다.

출처 : opennet.ru