O se faʻafitauli matuia (CVE-2022-29176) ua faʻaalia i totonu o le RubyGems.org package repository, lea e mafai ai, e aunoa ma se pule tatau, e sui ai isi afifi a isi tagata i totonu o le faleteuoloa e ala i le amataina o se toso o se afifi talafeagai ma utaina i lona tulaga. le isi faila e tutusa le igoa ma le numera o le lomiga.
Ina ia faʻaaoga lelei le faʻafitauli, e tolu tulaga e tatau ona ausia:
- O le osofa'iga e mafai ona faia na'o pepa o lo'o i ai se va'aiga i o latou igoa.
- E tatau i le tagata osofa'i ona mafai ona tu'u se afifi ma'a ma se vaega o le igoa a'o le'i o'o i le uiga vase. Mo se faʻataʻitaʻiga, afai o le osofaʻiga o loʻo i luga o le pusa "rails-html-sanitizer", e tatau i le tagata osofaʻi ona tuʻu lana lava pusa "rails-html" i totonu o le fale teu oloa.
- O le afifi o loʻo osofaʻia e tatau ona faia i totonu o le 30 aso talu ai pe leʻi faʻafouina mo le 100 aso.
O le faʻafitauli e mafua mai i se mea sese i le "yank" action handler, lea e faʻamatalaina le vaega o le igoa pe a uma le vaʻaia o le igoa o le tulaga, lea na mafai ai ona amata le tapeina o afifi mai fafo e fetaui ma le vaega o le igoa. i luma o le faailoga. Aemaise lava, i le "yank" handler code, o le 'find_by!(full_name: "#{rubygem.name}-#{slug}")" na faʻaaogaina e suʻe ai afifi, ae o le "slug" parameter na pasia e le e ona le afifi e fuafua le lomiga e aveese. O lē e ona le afifi "rails-html" e mafai ona faʻamaonia le "sanitizer-1.2.3" nai lo le "1.2.3", lea o le a mafua ai ona faʻaogaina le taotoga i se isi afifi "rails-html-sanitizer-1.2.3 ".
O le mataupu na faailoa mai e se tagata suʻesuʻe saogalemu o se vaega o le polokalame a le HackerOne's bounty mo le sailia o mataupu tau puipuiga i galuega faʻalauiloa faʻalauiloa. O le faʻafitauli na faʻamauina i RubyGems.org i le aso 5 o Me ma e tusa ai ma le au atiaʻe, latou te leʻi faʻailoaina soʻo se faʻailoga o le faʻaogaina o le faʻafitauli i totonu o ogalaau i le 18 masina talu ai. I le taimi lava e tasi, na o se suʻega papaʻu ua faʻatinoina i le taimi nei ma o loʻo fuafua se suʻega loloto i le lumanaʻi.
Ina ia siaki au galuega faatino, e fautuaina e iloilo le talaʻaga o gaioiga i le Gemfile.lock faila; gaioiga leaga e faʻaalia i le i ai o suiga ma le faʻasaoina o le igoa ma le faʻasologa poʻo se suiga o le faʻavae (mo se faʻataʻitaʻiga, pe a o le gemname -1.2.3 afifi ua faafou i gemname-1.2.3-java). I le avea ai o se fofo e puipuia mai le suia o pusa natia i faiga faʻapipiʻi faifaipea poʻo le taimi o le lolomiina o poloketi, e fautuaina le au atinaʻe e faʻaoga le Bundler ma le "-frozen" poʻo le "-deployment" filifiliga e faʻaleleia ai faʻalagolago.
puna: opennet.ru