Chiwopsezo chachikulu (CVE-2022-29176) chadziwika mu phukusi la RubyGems.org, lomwe limalola, popanda ulamuliro woyenera, kuti lisinthire mapaketi a anthu ena m'malo osungiramo poyambitsa yank ya phukusi lovomerezeka ndikuyika m'malo mwake. fayilo ina yokhala ndi dzina lomwelo ndi nambala ya mtundu.
Kuti mugwiritse ntchito bwino chiwopsezo, zinthu zitatu ziyenera kukwaniritsidwa:
- Kuwukiraku kumatha kuchitika pamapaketi omwe ali ndi hyphen m'dzina lawo.
- Wowukira akuyenera kuyika phukusi lamtengo wapatali lomwe lili ndi gawo la dzina patsogolo pa zilembo za hyphen. Mwachitsanzo, ngati chiwopsezo chili pa "rails-html-sanitizer", wowukirayo ayenera kuyika phukusi lake la "rails-html" munkhokwe.
- Phukusi lomwe likuwukiridwa liyenera kukhala litapangidwa m'masiku 30 apitawa kapena osasinthidwa kwa masiku 100.
Chiwopsezochi chimayamba chifukwa cha cholakwika mu "yank" chowongolera, chomwe chimatanthauzira gawo la dzina pambuyo pa hyphen ngati dzina la nsanja, zomwe zidapangitsa kuti zitheke kuyambitsa kufufuta kwazinthu zakunja zomwe zikufanana ndi gawo la dzinalo. pamaso pa hyphen. Makamaka, mu code ya "yank", foni ya 'find_by!(full_name: "#{rubygem.name}-#{slug}")' idagwiritsidwa ntchito kupeza phukusi, pomwe gawo la "slug" lidadutsa mwini phukusi kuti atsimikizire mtundu womwe ukuyenera kuchotsedwa. Mwiniwake wa phukusi la "rails-html" angatchule "sanitizer-1.2.3" m'malo mwa "1.2.3", zomwe zingapangitse kuti ntchitoyi igwiritsidwe ntchito pa phukusi la munthu wina "rails-html-sanitizer-1.2.3" ".
Nkhaniyi idadziwika ndi wofufuza zachitetezo ngati gawo la pulogalamu yaulere ya HackerOne yopeza zovuta zachitetezo pamapulojekiti odziwika bwino. Vutoli lidakhazikitsidwa mu RubyGems.org pa Meyi 5 ndipo malinga ndi opanga mapulogalamuwo, sanazindikire zizindikiro zilizonse zogwiritsa ntchito pachiwopsezo m'zipika m'miyezi 18 yapitayi. Panthawi imodzimodziyo, kafukufuku wochepa chabe wachitika mpaka pano ndipo kufufuza mozama kwambiri kukukonzekera m'tsogolomu.
Kuti muwone mapulojekiti anu, tikulimbikitsidwa kusanthula mbiri ya ntchito mu fayilo ya Gemfile.lock; zoyipa zimawonetsedwa pamaso pa zosintha ndikusunga dzina ndi mtundu kapena kusintha kwa nsanja (mwachitsanzo, gemname -1.2.3 phukusi lasinthidwa kukhala gemname-1.2.3-java). Monga njira yodzitetezera kuti musalowe m'malo obisika pamakina ophatikizika mosalekeza kapena pofalitsa ma projekiti, opanga akulimbikitsidwa kugwiritsa ntchito Bundler ndi "-frozen" kapena "-deployment" zosankha kuti akonze zodalira.
Source: opennet.ru