Misy vulnerability manakiana (CVE-2022-29176) hita ao amin'ny tahiry fonosana RubyGems.org, izay mamela, raha tsy misy fahefana, manolo ny fonosan'ny olona sasany ao amin'ny tahiry amin'ny alàlan'ny fanombohana ny fisintonana fonosana ara-dalàna ary mametraka eo amin'ny toerany. rakitra hafa mitovy anarana sy laharan'ny dikan-teny.
Mba hampiasana amim-pahombiazana ny vulnerability dia fepetra telo no tsy maintsy arahina:
- Ny fonosana izay misy tsipika amin'ny anarany ihany no azo atao ny fanafihana.
- Ny mpanafika dia tsy maintsy afaka mametraka fonosana vatosoa misy ampahany amin'ny anarana alohan'ny toetran'ny hyphen. Ohatra, raha ao amin'ny fonosana "rails-html-sanitizer" ny fanafihana dia tsy maintsy mametraka ny fonosana "rails-html" azy ao amin'ny tahiry ny mpanafika.
- Ny fonosana voatafika dia tsy maintsy noforonina tao anatin'ny 30 andro farany na tsy nohavaozina nandritra ny 100 andro.
Ny vulnerability dia vokatry ny hadisoana ao amin'ny mpitantana hetsika "yank", izay mandika ny ampahany amin'ny anarana aorian'ny hyphen ho ny anaran'ny sehatra, izay nahafahana nanombohana ny famafana fonosana vahiny izay mifanaraka amin'ny ampahany amin'ny anarana. alohan'ny hyphen. Indrindra indrindra, ao amin'ny kaody mpandrindra "yank", ny antso 'find_by!(full_name: "#{rubygem.name}-#{slug}")" dia nampiasaina hitadiavana fonosana, fa ny mari-pamantarana "slug" kosa dia nandalo tamin'ny tompon'ny fonosana mba hamaritana ny dikan-teny hesorina. Ny tompon'ny fonosana "rails-html" dia afaka mamaritra ny "sanitizer-1.2.3" fa tsy ny dikan-teny "1.2.3", izay mety hahatonga ny fandidiana hampiharina amin'ny fonosana ho an'ny olon-kafa "rails-html-sanitizer-1.2.3 ".
Ny olana dia nomarihin'ny mpikaroka momba ny fiarovana ho ampahany amin'ny programa bounty HackerOne amin'ny fitadiavana olana momba ny fiarovana amin'ny tetikasa open-source fantatra. Namboarina tao amin'ny RubyGems.org ny olana tamin'ny 5 Mey ary araka ny filazan'ireo mpamorona, dia tsy mbola nahitana soritra fanararaotana ny vulnerability tao amin'ny logs izy ireo nandritra ny 18 volana lasa. Etsy andanin’izany, dia ny “audit superficielle” ihany no natao hatramin’izao ary ny fanaraha-maso lalindalina kokoa no kasaina hatao amin’ny ho avy.
Mba hanamarinana ny tetikasanao, dia asaina manadihady ny tantaran'ny asa ao amin'ny rakitra Gemfile.lock; ny hetsika ratsy dia aseho amin'ny fisian'ny fiovana miaraka amin'ny fitehirizana ny anarana sy ny dikan-teny na ny fiovan'ny sehatra (ohatra, rehefa ny anarana gem -1.2.3 fonosana dia nohavaozina ho gemname-1.2.3-java). Amin'ny maha-fiaraha-miasa hiarovana amin'ny fanoloana fonosana miafina amin'ny rafitra fampidirana mitohy na rehefa mamoaka tetikasa, dia asaina mampiasa Bundler miaraka amin'ny safidy "-frozen" na "-deployment" ny mpamorona hanamboatra ny fiankinan-doha.
Source: opennet.ru