RubyGems 패키지 관리자의 관리자는 특정 상황에서 gem을 제거하고 불량 버전으로 교체하는 데 악용될 수 있는 심각한 보안 결함을 해결했습니다. RubyGems 는 2022년 5월 6일에 발표된 보안 권고에서 "Yank 작업의 버그로 인해 RubyGems.org 사용자가 권한이 없는 사용자라도 특정 보석을 제거하고 교체할 수 있었습니다 . JavaScript용 npm 및 Python용 pip와 같은 RubyGems는 패키지 관리자 이자 Ruby 프로그래밍 언어용 gem 호스팅 서비스로서 171,500개 이상의 라이브러리 저장소를 제공합니다. 간단히 말해서, CVE-2022-29176으로 추적되는 문제의 결함으로 인해 누구나 특정 보석을 가져오고 동일한 이름, 동일한 버전 번호 및 다른 플랫폼을 가진 다른 파일을 업로드할 수 있습니다. 그러나 이렇게 하려면 보석 이름에 하나 이상의 대시가 있어야 합니다. 대시 앞의 단어는 공격자가 제어하는 보석의 이름이고 30일 이내에 생성되었거...
#100년
#불량
#소유자
#악성
#유지
#이상
#인해
#취약점
#특정
#보안
#보석
#변경
#30일
#gem
#RubyGems
#Yank
#관리자
#대시
#동안
#라이브러리
#패키지
원문링크 : RubyGems 패키지 관리자에서 보고된 중요한 보석 탈취 버그
네이버 블로그
티스토리
커뮤니티