RubyGems修补程序远程执行代码漏洞

Posted 2021-04-01 云安全那点事

空白

RubyGems是安装，升级和配置Ruby库和程序的软件工具包，官方日前宣布修补了一个关键的漏洞。

空白

攻击者可以通过rubygems.org上的反序列化漏洞远程提升权限并执行代码，“RubyGems团队利用手上的几乎所有资源对所有Gems进行了审核，我们可以说，我们对于最近发布的Gems不受漏洞影响很有信心，但是由于这个bug产生的时间较早，我们无法肯定地说没有一个Games受到影响，”Aaron Patterson，RubyGems的维护者之一在周一公布的咨询中如此写到：“该错误是在2012年推出的，很可能RubyGems有此弱点至少已经五年了。”

空白

“这个特殊情况与RubyGems在Gem文件中存储校验和的方式有关。校验和存储在Gem文件中的YAML中。YAML像排列操作一样，是为了对任意的Ruby对象进行序列化和反序列化。当RubyGems.org处理Gem上传时，它会先读取Gem规范，然后再读取Gem中的校验和。一个聪明的攻击者可以将一个校验和文件写入一个包含YAML的Gem，然后以此格式注入任意Ruby对象并将该对象用作升级点。”

空白

一位名叫马克斯·贾斯基茨（Max Justicz）的研究员发现了这个错误，上个星期五报道了这个问题，并且在修补之前的星期六发表了对这个漏洞的描述。

空白

Patterson表示：“由于这个猴子补丁程序的修补对象是RubyGems而不是 RubyGems.org，所以我们决定将RubyGems本身修补好一些，这就是为什么CVE被发布用于RubyGems，并为RubyGems创建了一个补丁。”

消息来源：threatpost