В Rubygems, системе управления пакетами для приложений на языке Ruby, выявлен (https://justi.cz/security/2017/10/07/rubygems-org-rce.html)а критическая уязвимость (http://blog.rubygems.org/2017/10/09/unsafe-object-deserializ...) (CVE-2017-0903 (https://security-tracker.debian.org/tracker/CVE-2017-0903)), позволяющая инициировать удалённое выполнение кода на сервере RubyGems.org при загрузке специально оформленного gem-пакета или на системе пользователя при установке gem-пакета. Проблема устранена (http://blog.rubygems.org/2017/10/09/2.6.14-released.html) в выпуске RubyGems 2.6.14.
Уязвимость вызвана ошибкой в коде разбора контрольных сумм для компонентов пакета и связана с возможностью десериализации объектов. Контрольные суммы хранятся в формате YAML и до устранения уязвимости загружались при помощи вызова YAML.load, который автоматически обрабатывает сериализированные объекты на языке Ruby. Злоумышленник может подготовить файл с контрольными суммами, содержащий сериализированные объекты в блоке YALM, что приведёт к выполнению заданного атакующем Ruby-кода при обработке пакета, в том числе на серверах инфраструктуры RubyGems.org. Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.URL: http://blog.rubygems.org/2017/10/09/2.6.14-released.html
Новость: http://www.opennet.me/opennews/art.shtml?num=47370
> Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.То. что кто-то прочистил им дымоход и опосля подменил свой собственный пакет на чистый, благо RCE есть, им даже в голову не пришло.
Именно поэтому на*** все PECL'ы, PEAR'ы, NPM'ы, RUBYGEM'ы и прочие места, из которого легко схватить дерьмище в любой проект, вообще об этом не подозревая. Только авторские релизы с гитов, там хотя бы все коммиты трэкаются железно.
>бы все коммиты трэкаются железно.Уж прямо железно?
Лучше взять анси си и написать всё, что надо с нуля.
> Уж прямо железно?Достаточно неплохо, хотя SHA1 по современным меркам слабоват. Еще подписи есть, чтобы наверняка. А у этих npm-ов с pip-ами и чем там еще - нет и десятой части мер безопасности которые должны в такой штуке быть, чтобы систему не вскрывал через это дерьмище любой скрипткидиз. Десереализовать ремотный код - все для удобства кидизов.
> Лучше взять анси си и написать всё, что надо с нуля.
Нормальные пакетные менеджеры нормальные програмеры так и пишут. Это даже до фрибсд доползло. И там по крайней мере нет глупых детских ошибок. А переполнение буфера - это прекрасно, но у таких как ты вообще мозгов не хватит его эксплуатировать в современных системах с noexecstack и прочими ASLR-ами.
git commit -amend && git push --force
Железно, ага!
Ничего что при этом создаётся новый коммит с другим хэшем?
Репозитории - это плохо. Надо скачивать бесплатно без смс не только jquery.min.js, но и скачивать бесплатно без смс gedit, скачивать бесплатно без смс libpng и так далее. Устанавливать строго установщиком, bash libpng-installer.run.А репозитории не нужны.
дедушка, откуда ты вылез, марш обратно в свой колумбарий!
bash ему, еще может - язык индейцев доколумбовой америки?У нас считается стильно, модно и молодежно динамически загружать код с rawgit! А то ж можно ненароком использовать несвежий код, в который уже два часа не вносили правок непойми кто и зачем!
> А репозитории не нужны.
хм, нет, есть у олдовых людей и своя правда. Репозитории, безусловно, не нужны. Современный код должен на ходу собирать себя сам, стягивая запчасти из миллиона неконтролируемых источников - так победим!
> модно и молодежно динамически загружать код с rawgit!Это и есть альтернатива от борцунов с npm/gems.
> стягивая запчасти из миллиона неконтролируемых источников - так победим!
А, я понял. Нужен gimp-with-gtk-with-gdm-with-libpng.msi. Тогда не будет никих "запчастей из миллионов".
# dnf repoquery --requires gimp | wc -l
Last metadata expiration check: 0:01:07 ago on Thu 12 Oct 2017 02:45:17 PM MSK.
81
Небольшая ремарка: PECL в этом списке лишний, туда просто так расширение не добавить: https://pecl.php.net/account-request.php
>> Только авторские релизы с гитов,как будто в гите и гитхабе нельзя просверлить дырочку....
> Именно поэтому на*** все PECL'ы, PEAR'ы, NPM'ы, RUBYGEM'ы и прочие места, из
> которого легко схватить дерьмище в любой проект, вообще об этом не
> подозревая. Только авторские релизы с гитов, там хотя бы все коммиты
> трэкаются железно.gem install gemname -P HighSecurity: All dependent gems must be signed and verified.
http://guides.rubygems.org/security/
http://docs.seattlerb.org/rubygems/Gem/Security.html
Опять в обработке YAML дыра? Выбросьте этот код уже, либо перейдите на другие структуры для хранения данных.
> Выбросьте этот код уже, либо перейдите на другие структуры для хранения данных.да, давайте что-нибудь новое, а то этот уже надоело ломать.
(только не xml, он еще в прошлом веке всем обрыдл)
> Разработчики проанализировали все пакеты в RubyGems и не нашли попыток эксплуатации данной уязвимости в момент до выпуска обновления с устранением проблемы.The RubyGems team audited all Gems, and using the data available to us we can say we have high confidence that no recently published Gems have been impacted, but due to the amount of time this bug has been in production, we cannot say for sure that zero Gems have been impacted.
А у них подписи были? Или вместо них толпа ехидно хихикающих MITMов, давно поимевших всех скрипткидисов в солнечной системе?