影响分析:RubyGems未授权访问漏洞(CVE-2022-29176)

发布时间:2024-04-27 18:01

RubyGems是一个软件包注册中心,用于为 Ruby 语言生态系统提供软件,它托管超过170,000个Ruby包(gem),在其生命周期内提供了近1000 亿次下载。
2022年5月6日,RubyGems披露存在一个可导致未授权访问的漏洞(CVE-2022-29176),该漏洞的CVSS评分为9.9。
RubyGems发布安全公告指出,“由于 yank 操作中存在一个漏洞,因此任何 RubyGems.org 用户都能越权删除并取代某些gems。”
本篇文章将分析CVE-2022-29176漏洞的性质,带来的影响评估和事件分析。
想要自动检测恶意软件?联系Mend授权合作伙伴——龙智,了解更多关于Mend的自动恶意软件检测平台Diffend的信息。

影响分析:RubyGems未授权访问漏洞(CVE-2022-29176)_第1张图片

2022年5月6日,发布了一个RubyGems的关键安全漏洞,RubyGems是Ruby生态系统的主要包源。

该漏洞是由于可从存储库中取消发布(“yank”)某些Ruby包,并使用相同的文件名和版本号重新发布污染或恶意的版本。该漏洞需要满足以下条件:

  • gem名称中有一个或多个破折号,例如something-provider。
  • 以第一个破折号之前的单词命名的包不存在(例如,用于kostya-sigar的kostya, 用于googleapis-common-protos-types的googleapi)。
  • 被篡改的包是在过去30天内创建的,或者超过100天未更新。

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号