RubyGems 패키지 관리자의 관리자는 특정 상황에서 gem을 제거하고 불량 버전으로 교체하는 데 악용될 수 있는 심각한 보안 결함을 해결했습니다. RubyGems 는 2022년 5월 6일에 발표된 보안 권고에서 "Yank 작업의 버그로 인해 RubyGems.org 사용자가 권한이 없는 사용자라도 특정 보석을 제거하고 교체할 수 있었습니다 .
JavaScript용 npm 및 Python용 pip와 같은 RubyGems는 패키지 관리자 이자 Ruby 프로그래밍 언어용 gem 호스팅 서비스로서 171,500개 이상의 라이브러리 저장소를 제공합니다. 간단히 말해서, CVE-2022-29176으로 추적되는 문제의 결함으로 인해 누구나 특정 보석을 가져오고 동일한 이름, 동일한 버전 번호 및 다른 플랫폼을 가진 다른 파일을 업로드할 수 있습니다.
그러나 이렇게 하려면 보석 이름에 하나 이상의 대시가 있어야 합니다. 대시 앞의 단어는 공격자가 제어하는 보석의 이름이고 30일 이내에 생성되었거...
#
100년
#
불량
#
소유자
#
악성
#
유지
#
이상
#
인해
#
취약점
#
특정
#
보안
#
보석
#
변경
#
30일
#
gem
#
RubyGems
#
Yank
#
관리자
#
대시
#
동안
#
라이브러리
#
패키지