В RubyGems выявлена удалённо эксплуатируемая уязвимость

В Rubygems, системе управления пакетами для приложений на языке Ruby, выявлена критическая уязвимость (CVE-2017-0903), позволяющая инициировать удалённое выполнение кода на сервере RubyGems.org при загрузке специально оформленного gem-пакета или на системе пользователя при установке gem-пакета. Проблема устранена в выпуске RubyGems 2.6.14.

Уязвимость вызвана ошибкой в коде разбора контрольных сумм для компонентов пакета и связана с возможностью десериализации объектов. Контрольные суммы хранятся в формате YAML и до устранения уязвимости загружались при помощи вызова YAML.load, который автоматически обрабатывает сериализированные объекты на языке Ruby. Злоумышленник может подготовить файл с контрольными суммами, содержащий сериализированные объекты в блоке YALM, что приведёт к выполнению заданного атакующем Ruby-кода при обработке пакета, в том числе на серверах инфраструктуры RubyGems.org. Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.