RubyGems包管理器中报告的关键Gems接管错误

RubyGems包管理器的维护人员已经解决了一个严重的安全漏洞，在特定情况下，该漏洞可能被滥用来删除gems并用恶意版本替换它们。

RubyGems在 2022 年 5 月 6 日发布的安全公告中表示： “由于 yank 操作中的错误，任何 RubyGems.org 用户都可以删除和替换某些 gem，即使该用户没有被授权这样做。”

RubyGems与用于JavaScript的npm和用于Python的pip一样，是Ruby编程语言的包管理器和gem托管服务，提供了超过171500个库的存储库。

简而言之，被追踪为CVE-2022-29176的该缺陷使任何人都可以提取某些gem并上载具有相同名称、相同版本号和不同平台的不同文件。

然而，要做到这一点，一个gem的名称中需要有一个或多个破折号，破折号前的单词是攻击者控制的gem的名称，它是在30天内创建的，或者在100天以上没有更新。

“例如，gem‘某物提供者’可能已经被gem‘某物’的所有者接管，”项目所有者解释道。

项目维护人员表示，没有证据表明该漏洞已在野外被利用，并补充说，它没有收到任何来自gem所有者的支持电子邮件，提醒他们在未经授权的情况下删除这些库。

维护人员表示：“对过去18个月的gem更改进行的审计没有发现任何恶意使用此漏洞的例子。”。“正在对该漏洞的任何可能使用进行更深入的审核。”

披露消息之际，NPM解决了其平台中的几个缺陷，这些缺陷本可以被武器化，以促进账户接管攻击和发布恶意软件包。

其中最主要的是一种被称为包植入的供应链威胁，这种威胁使恶意行为者可以在不知情的情况下将恶意库分配给受信任的、受欢迎的维护者，从而将它们伪装成合法的。