The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В RubyGems выявлена удалённо эксплуатируемая уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от opennews (??) on 11-Окт-17, 22:27 
В Rubygems, системе управления пакетами для приложений на языке Ruby, выявлен (https://justi.cz/security/2017/10/07/rubygems-org-rce.html)а критическая уязвимость (http://blog.rubygems.org/2017/10/09/unsafe-object-deserializ...) (CVE-2017-0903 (https://security-tracker.debian.org/tracker/CVE-2017-0903)), позволяющая инициировать удалённое выполнение кода на сервере RubyGems.org при загрузке специально оформленного gem-пакета или на системе пользователя при установке gem-пакета. Проблема устранена (http://blog.rubygems.org/2017/10/09/2.6.14-released.html) в выпуске RubyGems 2.6.14.


Уязвимость вызвана ошибкой в коде разбора контрольных сумм для компонентов пакета и связана с возможностью десериализации объектов. Контрольные суммы хранятся в формате YAML и до устранения уязвимости загружались при помощи вызова YAML.load, который автоматически обрабатывает сериализированные объекты на языке Ruby. Злоумышленник может подготовить файл с контрольными суммами, содержащий сериализированные объекты в блоке YALM, что приведёт к выполнению заданного атакующем Ruby-кода при обработке пакета, в том числе на серверах инфраструктуры RubyGems.org.  Разработчики  проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.

URL: http://blog.rubygems.org/2017/10/09/2.6.14-released.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=47370

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +6 +/
Сообщение от Аноним (??) on 11-Окт-17, 22:27 
> Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.

То. что кто-то прочистил им дымоход и опосля подменил свой собственный пакет на чистый, благо RCE есть, им даже в голову не пришло.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от anomymous on 11-Окт-17, 23:55 
Именно поэтому на*** все PECL'ы, PEAR'ы, NPM'ы, RUBYGEM'ы и прочие места, из которого легко схватить дерьмище в любой проект, вообще об этом не подозревая. Только авторские релизы с гитов, там хотя бы все коммиты трэкаются железно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +4 +/
Сообщение от лютый жабист__ on 12-Окт-17, 05:38 
>бы все коммиты трэкаются железно.

Уж прямо железно?

Лучше взять анси си и написать всё, что надо с нуля.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  –3 +/
Сообщение от Аноним (??) on 12-Окт-17, 15:15 
> Уж прямо железно?

Достаточно неплохо, хотя SHA1 по современным меркам слабоват. Еще подписи есть, чтобы наверняка. А у этих npm-ов с pip-ами и чем там еще - нет и десятой части мер безопасности которые должны в такой штуке быть, чтобы систему не вскрывал через это дерьмище любой скрипткидиз. Десереализовать ремотный код - все для удобства кидизов.

> Лучше взять анси си и написать всё, что надо с нуля.

Нормальные пакетные менеджеры нормальные програмеры так и пишут. Это даже до фрибсд доползло. И там по крайней мере нет глупых детских ошибок. А переполнение буфера - это прекрасно, но у таких как ты вообще мозгов не хватит его эксплуатировать в современных системах с noexecstack и прочими ASLR-ами.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +5 +/
Сообщение от . on 12-Окт-17, 08:15 
git commit -amend && git push --force
Железно, ага!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от M i M email on 12-Окт-17, 23:37 
Ничего что при этом создаётся новый коммит с другим хэшем?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от Аноним (??) on 12-Окт-17, 11:46 
Репозитории - это плохо. Надо скачивать бесплатно без смс не только jquery.min.js, но и скачивать бесплатно без смс gedit, скачивать бесплатно без смс libpng и так далее. Устанавливать строго установщиком, bash libpng-installer.run.

А репозитории не нужны.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +1 +/
Сообщение от пох on 12-Окт-17, 12:48 
дедушка, откуда ты вылез, марш обратно в свой колумбарий!
bash ему, еще может - язык индейцев доколумбовой америки?

У нас считается стильно, модно и молодежно динамически загружать код с rawgit! А то ж можно ненароком использовать несвежий код, в который уже два часа не вносили правок непойми кто и зачем!

> А репозитории не нужны.

хм, нет, есть у олдовых людей и своя правда. Репозитории, безусловно, не нужны. Современный код должен на ходу собирать себя сам, стягивая запчасти из миллиона неконтролируемых источников - так победим!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  –1 +/
Сообщение от Аноним (??) on 12-Окт-17, 14:47 
> модно и молодежно динамически загружать код с rawgit!

Это и есть альтернатива от борцунов с npm/gems.

> стягивая запчасти из миллиона неконтролируемых источников - так победим!

А, я понял. Нужен gimp-with-gtk-with-gdm-with-libpng.msi. Тогда не будет никих "запчастей из миллионов".

# dnf repoquery --requires gimp | wc -l
Last metadata expiration check: 0:01:07 ago on Thu 12 Oct 2017 02:45:17 PM MSK.
81

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  –1 +/
Сообщение от Аноним (??) on 12-Окт-17, 14:21 
Небольшая ремарка: PECL в этом списке лишний, туда просто так расширение не добавить: https://pecl.php.net/account-request.php
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от Аноним (??) on 12-Окт-17, 18:25 
>> Только авторские релизы с гитов,

как будто в гите и гитхабе нельзя просверлить дырочку....

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +3 +/
Сообщение от Аноним (??) on 12-Окт-17, 18:27 
> Именно поэтому на*** все PECL'ы, PEAR'ы, NPM'ы, RUBYGEM'ы и прочие места, из
> которого легко схватить дерьмище в любой проект, вообще об этом не
> подозревая. Только авторские релизы с гитов, там хотя бы все коммиты
> трэкаются железно.

gem install gemname -P HighSecurity: All dependent gems must be signed and verified.

http://guides.rubygems.org/security/
http://docs.seattlerb.org/rubygems/Gem/Security.html

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от Аноним (??) on 12-Окт-17, 17:56 
Опять в обработке YAML дыра? Выбросьте этот код уже, либо перейдите на другие структуры для хранения данных.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от kewlhaxzor on 12-Окт-17, 23:12 
> Выбросьте этот код уже, либо перейдите на другие структуры для хранения данных.

да, давайте что-нибудь новое, а то этот уже надоело ломать.
(только не xml, он еще в прошлом веке всем обрыдл)


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +/
Сообщение от ваноним on 12-Окт-17, 19:58 
>  Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.

The RubyGems team audited all Gems, and using the data available to us we can say we have high confidence that no recently published Gems have been impacted, but due to the amount of time this bug has been in production, we cannot say for sure that zero Gems have been impacted.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В RubyGems выявлена удалённо эксплуатируемая уязвимость"  +1 +/
Сообщение от Аноним (??) on 12-Окт-17, 20:09 
А у них подписи были? Или вместо них толпа ехидно хихикающих MITMов, давно поимевших всех скрипткидисов в солнечной системе?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру