Kaody ratsy hita ao amin'ny mpanjifa sisa sy fonosana Ruby 10 hafa

Ao anaty fonosana vatosoa malaza mpiala sasatra, miaraka amin'ny fitambaran'ny fampidinana 113 tapitrisa, fantatra Fanoloana kaody ratsy (CVE-2019-15224) izay misintona baiko azo tanterahina ary mandefa fampahalalana amin'ny mpampiantrano ivelany. Ny fanafihana dia natao tamin'ny alalan'ny marimaritra iraisana Kaonty developer rest-client ao amin'ny tahiry rubygems.org, taorian'izay dia namoaka ny famoahana 13-14 ny mpanafika tamin'ny 1.6.10 sy 1.6.13 aogositra, izay nahitana fiovana ratsy. Talohan'ny nanakanana ireo dikan-teny ratsy dia nisy mpampiasa arivo teo ho eo no nahavita nisintona azy ireo (namoaka fanavaozana ho an'ny dikan-teny taloha ny mpanafika mba tsy hisarihana ny saina).

Ny fanovana manimba dia manafoana ny fomba "#authenticate" ao amin'ny kilasy
Identity, aorian'izay ny fiantsoana fomba tsirairay dia miteraka mailaka sy tenimiafina nalefa nandritra ny andrana fanamarinana nalefa tany amin'ny mpampiantrano mpanafika. Amin'izany fomba izany, ny masontsivana fidirana an'ireo mpampiasa serivisy mampiasa ny kilasy Identity sy ny fametrahana dikan-teny marefo amin'ny tranomboky mpanjifa sisa dia voasakana, izay nasongadina ho fiankinan-doha amin'ny fonosana Ruby malaza maro, ao anatin'izany ny ast (64 tapitrisa fampidinana), oauth (32 tapitrisa), fastlane (18 tapitrisa), ary kubeclient (3.7 tapitrisa).

Fanampin'izany, nisy varavarana ambadika nampiana ny kaody, mamela ny kaody Ruby tsy misy dikany hovonoina amin'ny alàlan'ny fiasa eval. Ampitaina amin'ny alalan'ny Cookie nohamarinin'ny fanalahidin'ny mpanafika ny kaody. Mba hampahafantarana ny mpanafika momba ny fametrahana fonosana maloto amin'ny mpampiantrano ivelany, dia alefa ny URL an'ny rafitry ny niharam-boina sy ny fifantenana ny vaovao momba ny tontolo iainana, toy ny tenimiafina voatahiry ho an'ny DBMS sy ny serivisy rahona. Noraketina tamin'ny fampiasana ny kaody ratsy voalaza etsy ambony ny andrana misintona script ho an'ny fitrandrahana cryptocurrency.

Rehefa avy nandinika ny kaody ratsy izy io NAMPAHAFANTARAN'Ifa misy fiovana mitovy amin'izany ao 10 fonosana ao amin'ny Ruby Gems, izay tsy nosamborina, fa nomanin'ny mpanafika manokana mifototra amin'ny tranomboky malaza hafa manana anarana mitovy, izay nosoloana an-tsipirihany na ny mifamadika amin'izany (ohatra, mifototra amin'ny cron-parser fonosana cron_parser mampidi-doza dia noforonina, ary mifototra amin'ny doge_coin fonosana ratsy doge-coin). Fonosana olana:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-colors: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• ho avy tsy ho ela: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Navoaka tamin'ny 12 Mey ny fonosana maloto voalohany amin'ity lisitra ity, saingy tamin'ny volana Jolay ny ankamaroany. Amin'ny fitambarany, in-2500 eo ho eo no nakarina ireo fonosana ireo.

Source: opennet.ru