Kotsi e mpe (CVE-2022-29176) e se e khethiloe sebakeng sa polokelo ea sephutheloana sa RubyGems.org, se lumellang, ntle le bolaoli bo nepahetseng, ho nka sebaka sa liphutheloana tsa batho ba bang sebakeng sa polokelo ka ho qala yank ea sephutheloana se molaong le ho e kenya sebakeng sa eona. faele e 'ngoe e nang le lebitso le nomoro ea mofuta o tšoanang.
Ho sebelisa monyetla oa ho ba kotsing ka katleho, maemo a mararo a tlameha ho finyelloa:
- Tlhaselo e ka etsoa feela ka lipakete tse nang le hyphen ka mabitso a tsona.
- Mohlaseli o tlameha ho khona ho beha sephutheloana sa lehakoe se nang le karolo ea lebitso ka pel'a mongolo oa hyphen. Mohlala, haeba tlhaselo e le sephutheloana sa "rails-html-sanitizer", mohlaseli o tlameha ho beha sephutheloana sa hae sa "rails-html" sebakeng sa polokelo.
- Pakete e hlasetsoeng e tlameha ebe e entsoe matsatsing a 30 a fetileng kapa ha ea ntlafatsoa ka matsatsi a 100.
Kotsi e bakoa ke phoso ho "yank" ea sebetsanang le liketso, e fetolelang karolo ea lebitso ka mor'a hyphen e le lebitso la sethala, e leng se entseng hore ho khonehe ho qala ho hlakola liphutheloana tsa linaha tse ling tse lumellanang le karolo ea lebitso. pele ho leqhubu. Haholo-holo, ho "yank" handler code, mohala oa 'find_by!(full_name: "#{rubygem.name}-#{slug}")" o ile oa sebelisoa ho fumana liphutheloana, ha parameter ea "slug" e fetisoa ke mong'a sephutheloana ho fumana hore mofuta o tla tlosoa. Mong'a sephutheloana sa "rails-html" a ka hlakisa "sanitizer-1.2.3" ho fapana le mofuta "1.2.3", e leng se tla etsa hore ts'ebetso e sebelisoe "rails-html-sanitizer-1.2.3" ea motho e mong. ".
Taba ena e ile ea khetholloa ke mofuputsi oa ts'ireletso e le karolo ea lenaneo la bounty la HackerOne bakeng sa ho fumana litaba tsa ts'ireletso mererong e tsebahalang ea mohloli o bulehileng. Bothata bo ile ba lokisoa ho RubyGems.org ka la 5 Motšeanong 'me ho ea ka bahlahisi, ha ba e-s'o bone mesaletsa leha e le efe ea ts'ebeliso ea ts'ebeliso ea ts'oaetso ea li-log nakong ea likhoeli tse fetileng tsa 18. Ka nako e ts'oanang, ho se ho entsoe tlhahlobo e holimo feela ho fihlela joale mme tlhahlobo e tebileng haholoanyane e reriloe nakong e tlang.
Ho hlahloba merero ea hau, ho kgothaletswa ho sekaseka nalane ea ts'ebetso ho faele ea Gemfile.lock; ts'ebetso e mpe e hlahisoa ka boteng ba liphetoho ka ho boloka lebitso le mofuta kapa phetoho ea sethala (mohlala, ha gemname e ntse e fetoha. -1.2.3 sephutheloana e ntjhafatswa ho gemname-1.2.3-java). E le mokhoa oa ho itšireletsa khahlanong le ho kenngoa ha sephutheloana se patiloeng tsamaisong e tsoelang pele ea ho kopanya kapa ha ho phatlalatsoa merero, bahlahisi ba khothalletsoa ho sebelisa Bundler ka "-frozen" kapa "-deployment" likhetho ho lokisa litšepe.
Source: opennet.ru