Bug Pengambilalihan Permata Kritis Dilaporkan di Manajer Paket RubyGems

Bug Pengambilalihan Permata Kritis Dilaporkan di Manajer Paket RubyGems

Pengelola manajer paket RubyGems telah mengatasi kelemahan keamanan kritis yang dapat disalahgunakan untuk menghapus permata dan menggantinya dengan versi jahat dalam keadaan tertentu.

“Karena adanya bug dalam tindakan mencabut, pengguna RubyGems.org dapat menghapus dan mengganti permata tertentu meskipun pengguna tersebut tidak berwenang untuk melakukannya,” RubyGems dikatakan dalam nasihat keamanan yang diterbitkan pada 6 Mei 2022.

RubyGems, seperti npm untuk JavaScript dan pip untuk Python, adalah a manajer paket dan layanan internet hosting permata untuk bahasa pemrograman Ruby, menawarkan repositori lebih dari 171.500 perpustakaan.

Singkatnya, cacat yang dimaksud, dilacak sebagai CVE-2022-29176, memungkinkan siapa pun untuk menarik permata tertentu dan mengunggah file yang berbeda dengan nama yang sama, nomor versi yang sama, dan platform yang berbeda.

Namun, agar hal ini terjadi, permata harus memiliki satu atau lebih tanda hubung dalam namanya, di mana kata sebelum tanda hubung adalah nama permata yang dikendalikan penyerang, dan yang dibuat dalam waktu 30 hari atau tidak memiliki pembaruan selama lebih dari 100 hari. hari.

“Misalnya, ‘sesuatu-penyedia’ permata bisa saja diambil alih oleh pemilik ‘sesuatu’,” pemilik proyek menjelaskan.

Pengelola proyek mengatakan bahwa tidak ada bukti bahwa kerentanan telah dieksploitasi di alam liar, menambahkan itu tidak menerima e-mail dukungan dari pemilik permata yang memperingatkan mereka tentang penghapusan perpustakaan tanpa otorisasi.

“Audit perubahan permata selama 18 bulan terakhir tidak menemukan contoh kerentanan ini digunakan dengan cara yang jahat,” kata pengelola. “Audit yang lebih dalam untuk kemungkinan penggunaan eksploitasi ini sedang berlangsung.”

Pengungkapan itu muncul ketika NPM mengatasi beberapa kekurangan dalam platformnya yang dapat dipersenjatai untuk memfasilitasi serangan pengambilalihan akun dan menerbitkan paket berbahaya.

Kepala di antara mereka adalah ancaman rantai pasokan yang disebut penanaman paket yang memungkinkan aktor jahat untuk menganggap perpustakaan nakal sebagai sah hanya dengan menugaskannya ke pengelola yang tepercaya dan populer tanpa sepengetahuan mereka.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts