RubyGems是一个软件包注册中心,用于为 Ruby 语言生态系统提供软件,它托管超过170,000个Ruby包(gem),在其生命周期内提供了近1000 亿次下载。
2022年5月6日,RubyGems披露存在一个可导致未授权访问的漏洞(CVE-2022-29176),该漏洞的CVSS评分为9.9。
RubyGems发布安全公告指出,“由于 yank 操作中存在一个漏洞,因此任何 RubyGems.org 用户都能越权删除并取代某些gems。”
本篇文章将分析CVE-2022-29176漏洞的性质,带来的影响评估和事件分析。
想要自动检测恶意软件?联系Mend授权合作伙伴——龙智,了解更多关于Mend的自动恶意软件检测平台Diffend的信息。
2022年5月6日,发布了一个RubyGems的关键安全漏洞,RubyGems是Ruby生态系统的主要包源。
该漏洞是由于可从存储库中取消发布(“yank”)某些Ruby包,并使用相同的文件名和版本号重新发布污染或恶意的版本。该漏洞需要满足以下条件:
- gem名称中有一个或多个破折号,例如something-provider。
- 以第一个破折号之前的单词命名的包不存在(例如,用于kostya-sigar的kostya, 用于googleapis-common-protos-types的googleapi)。
- 被篡改的包是在过去30天内创建的,或者超过100天未更新。