ProHoster > بلاګ > انټرنیټ خبرونه > په RubyGems.org کې زیانمنتیا چې د نورو خلکو کڅوړو سپوف کولو ته اجازه ورکوي

په RubyGems.org کې زیانمنتیا چې د نورو خلکو کڅوړو سپوف کولو ته اجازه ورکوي

د RubyGems.org کڅوړې ذخیره کې یو مهم زیانمنونکی (CVE-2022-29176) پیژندل شوی، کوم چې اجازه ورکوي پرته له مناسب واک څخه، د یو مشروع کڅوړې د ینګ په پیل کولو او په خپل ځای کې د بارولو له لارې په ذخیره کې د نورو خلکو کڅوړې ځای په ځای کړي. بل فایل د ورته نوم او نسخې شمیرې سره.

د دې لپاره چې په بریالیتوب سره زیانمنونکي ګټه پورته کړي، درې شرایط باید پوره شي:

  • برید یوازې په هغه پاکټونو ترسره کیدی شي چې د دوی په نوم هایفن وي.
  • یو برید کونکی باید د دې وړتیا ولري چې د هایفین کرکټر دمخه د نوم برخې سره د قیمتي کڅوړه ځای په ځای کړي. د مثال په توګه، که برید په "rails-html-sanitizer" کڅوړه کې وي، برید کوونکی باید خپل "rails-html" کڅوړه په ذخیره کې ځای په ځای کړي.
  • هغه کڅوړه چې برید کیږي باید په تیرو 30 ورځو کې رامینځته شوی وي یا د 100 ورځو لپاره تازه شوی نه وي.

زیانمنتیا د "یانک" عمل هینډلر کې د غلطۍ له امله رامینځته کیږي ، کوم چې د هایفین وروسته د نوم برخه د پلیټ فارم نوم په توګه تشریح کوي ، کوم چې د دې امکان رامینځته کړی چې د بهرني کڅوړو حذف کول پیل کړي چې د نوم برخې سره سمون لري. د هایفین څخه مخکې. په ځانګړې توګه، د "yank" هینډلر کوډ کې، 'find_by!(full_name: "#{rubygem.name}-#{slug}")" زنګ د کڅوړو موندلو لپاره کارول کیده، پداسې حال کې چې د "سلګ" پیرامیټر له خوا تیر شوی و. د بسته بندۍ مالک د نسخې ټاکلو لپاره چې لرې شي. د کڅوړې "rails-html" مالک کولی شي د نسخې "1.2.3" پرځای "sanitizer-1.2.3" مشخص کړي، کوم چې به د عملیاتو د بل چا په کڅوړه کې پلي شي "rails-html-sanitizer-1.2.3" ".

دا مسله د امنیت څیړونکي لخوا د هیکرون د فضل برنامې برخې په توګه پیژندل شوې چې د خلاصې سرچینې په پیژندل شوي پروژو کې د امنیت مسلو موندلو لپاره. ستونزه په RubyGems.org کې د می په 5 کې حل شوې وه او د پراختیا کونکو په وینا، دوی لا تر اوسه په تیرو 18 میاشتو کې په لاګونو کې د زیان مننې د استخراج کومې نښې ندي پیژندلي. په ورته وخت کې، تر دې دمه یوازې یوه سطحي پلټنه ترسره شوې او په راتلونکي کې د یوې لا ژورې پلټنې پلان شوی دی.

ستاسو د پروژو چک کولو لپاره، دا سپارښتنه کیږي چې د Gemfile.lock فایل کې د عملیاتو تاریخ تحلیل کړي؛ ناوړه فعالیت د نوم او نسخې ساتلو یا د پلیټ فارم بدلون سره د بدلونونو په شتون کې څرګندیږي (د بیلګې په توګه، کله چې د جیم نوم -1.2.3 بسته د gemname-1.2.3-java ته تازه شوې). د دوامداره ادغام سیسټمونو کې د پټ کڅوړې بدیل پروړاندې د ساتنې لپاره د یوې حل په توګه یا کله چې پروژې خپروي ، پراختیا کونکو ته سپارښتنه کیږي چې د انحصارونو د حل لپاره د "-منجمد" یا "-تعمیر" اختیارونو سره بنډلر وکاروي.

سرچینه: opennet.ru

Add a comment