Обнаружена критическая уязвимость в RubyGems

Разработчики RubyGems устранили критическую уязвимость, которая могла при определенных обстоятельствах быть использована для удаления и замены гемов на фальшивые версии.

RubyGems – менеджер пакетов для языка программирования Ruby, предоставляющий стандартный формат для распространения готовых артефактов Ruby (называемых “гемами”).

"Из-за ошибки в действии yank любой неавторизованный пользователь RubyGems.org мог удалять и заменять определенные гемы", – говорится в сообщении разработчиков RubyGems, опубликованном 6 мая 2022 года.

Уязвимость CVE-2022-29176 позволяет любому пользователю получить доступ к определенным гемам и заменить их своими файлами с таким же именем, номером версии и разными платформами. Чтобы воспользоваться уязвимостью, злоумышленник должен был контролировать гем с одним или несколькими тире в имени, где слово перед тире – имя гема, созданного в течение 30 дней или не получавшего обновлений более 100 дней.

"Например, гем something-provider мог быть захвачен владельцем гема something", – пояснили владельцы проекта.

Команда поддержки проекта заявила, об отсутствии доказательств использования уязвимости в дикой природе, а также добавили что не получали никаких писем от владельцев гемов, в которых говорилось об удалении библиотек без разрешения.

"Проверка изменений гемов за последние 18 месяцев не обнаружила примеров использования этой уязвимости злоумышленниками", – заявили мейнтейнеры. "В настоящее время проводится более глубокая проверка на предмет возможного использования этого эксплоита".

Разработчики RubyGems рассказали про CVE-2022-29176 после того, как NPM устранил несколько уязвимостей в своей платформе, которые могли быть использованы для захвата аккаунтов и публикации вредоносных пакетов.

Ранее мы писали про логическую уязвимость в NPM, позволяющую злоумышленникам создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.