تحتوي RubyGems Package Manager على خطأ حرج

0

تحتوي RubyGems Package Manager على خطأ حرج ,قام مشرفو إدارة حزمة RubyGems بتصحيح ثغرة أمنية كبيرة كان من الممكن استغلالها لإلغاء تثبيت الأحجار الكريمة واستبدالها بإصدارات محتالة في ظل ظروف معينة.

حذر RubyGems في تنبيه أمني صدر في 6 مايو 2022: “قد يقوم أي مستخدم RubyGems.org بإزالة واستبدال بعض الأحجار الكريمة حتى لو لم يُسمح لهذا المستخدم بالقيام بذلك بسبب خطأ في عملية الشراء”.

RubyGems هي خدمة إدارة الحزم واستضافة الأحجار الكريمة للغة برمجة Ruby ، ​​على غرار npm لـ JavaScript و pip لـ Python. لديها أكثر من 17500 مكتبة في مستودعاتها.

باختصار ، سمح الخطأ المعني ، المعروف باسم CVE-2022-29176 ، لأي شخص بانتزاع جواهر معينة وتحميل ملفات متعددة بنفس الاسم ورقم الإصدار والنظام الأساسي.

ومع ذلك ، يلزم وجود جوهرة بها شرطة واحدة أو أكثر في اسمها ، بحيث تكون الكلمة التي تسبق الشرطة هي اسم جوهرة يتحكم فيها المهاجم ، والتي تم إنشاؤها في غضون 30 يومًا أو لم يتم إجراء أي تغييرات عليها لأكثر من 100 يوم ، لهذا الغرض يحدث.

لاحظ مالكو المشروع ، “على سبيل المثال ، ربما تم الاستيلاء على موفر الأحجار الكريمة من قبل مالك الشيء الخاص بالجوهرة.”

وفقًا لقائمين على صيانة المشروع ، لا يوجد دليل على أن الثغرة الأمنية قد تم استغلالها في البرية ، ولم تتلق أي رسائل بريد إلكتروني للدعم من مالكي الأحجار الكريمة لتنبيههم بإزالة المكتبات دون إذن.

وأضاف المشرفون: “كشف فحص تحديثات الأحجار الكريمة على مدى الأشهر الـ 18 الماضية أنه لم يتم استغلال هذه الثغرة الأمنية بشكل ضار”. ويتواصل “تحقيق أكثر شمولاً في الاستخدامات المحتملة لبرمجيات إكسبلويت”.

تأتي هذه الأخبار في الوقت الذي قامت فيه NPM بتصحيح عدد من المشكلات في نظامها الأساسي والتي كان من الممكن استخدامها للمساعدة في هجمات الاستيلاء على الحساب وتوزيع الحزم الضارة.

واحدة من أخطرها هي زراعة الحزم ، وهي مشكلة في سلسلة التوريد تسمح للجهات الخبيثة بتمرير المكتبات المارقة على أنها قانونية بمجرد تكليفها بمشرفين مشهورين وجديرين بالثقة دون وعيهم.

تحتوي RubyGems Package Manager على خطأ حرج ,اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.