One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8371425 |
| Date de publication | 2023-08-17 18:15:17 (vue: 2023-08-17 21:06:51) |
| Titre | CVE-2023-40165 |
| Texte | Rubygems.org est le service d'hébergement de Gem (Library) de Ruby Community \\.La validation des entrées insuffisante a permis aux acteurs malveillants de remplacer toute version de gemm téléchargée qui avait une plate-forme, un numéro de version ou un nom de gemm correspondant `/ - \ d /`, en remplaçant définitivement le téléchargement légitime dans le seau de stockage canonique et en déclenchant une purge CDN immédiatede sorte que le joyau malveillant soit servi immédiatement.Les mainteneurs ont vérifié tous les gemmes correspondant au modèle `/ - \ d /` et peuvent confirmer qu'aucun `.gem est inattendu.En conséquence, nous pensons que cette vulnérabilité n'a pas été exploitée.Le moyen le plus simple de s'assurer que les applications d'un utilisateur n'ont pas été exploitées par cette vulnérabilité est de vérifier que tous vos .Gems téléchargés ont une somme de contrôle qui correspond à la somme de contrôle enregistrée dans la base de données RubyGems.org.Le contributeur de Rubygems Maciej Mensfeld a écrit un outil pour vérifier automatiquement que tous les fichiers .gem téléchargés correspondent aux sommes de contrôle enregistrées dans la base de données Rubygems.org.Vous pouvez l'utiliser en fonctionnant: «Bundle Ajouter Bundler-Integrity» suivi par `Bundle Exec Bundler-Integrity».Ni cet outil ni quoi que ce soit d'autre ne peut prouver que vous n'étiez pas exploité, mais le peut aider votre enquête en comparant rapidement les sommes de contrôle de RubyGems API avec la somme de contrôle des fichiers sur votre disque.Le problème a été corrigé avec une validation d'entrée améliorée et les modifications sont en direct.Aucune action n'est requise de la partie de l'utilisateur.Il est conseillé aux utilisateurs de valider leurs joyaux locaux.
rubygems.org is the Ruby community\'s primary gem (library) hosting service. Insufficient input validation allowed malicious actors to replace any uploaded gem version that had a platform, version number, or gem name matching `/-\d/`, permanently replacing the legitimate upload in the canonical gem storage bucket, and triggering an immediate CDN purge so that the malicious gem would be served immediately. The maintainers have checked all gems matching the `/-\d/` pattern and can confirm that no unexpected `.gem`s were found. As a result, we believe this vulnerability was _not_ exploited. The easiest way to ensure that a user\'s applications were not exploited by this vulnerability is to check that all of your downloaded .gems have a checksum that matches the checksum recorded in the RubyGems.org database. RubyGems contributor Maciej Mensfeld wrote a tool to automatically check that all downloaded .gem files match the checksums recorded in the RubyGems.org database. You can use it by running: `bundle add bundler-integrity` followed by `bundle exec bundler-integrity`. Neither this tool nor anything else can prove you were not exploited, but the can assist your investigation by quickly comparing RubyGems API-provided checksums with the checksums of files on your disk. The issue has been patched with improved input validation and the changes are live. No action is required on the part of the user. Users are advised to validate their local gems. |
| Envoyé | Oui |
| Condensat | 2023 40165 `bundle action actors add advised all allowed any anything api applications are assist automatically been believe bucket bundler but can canonical cdn changes check checked checksum checksums community comparing confirm contributor cve d/` database disk downloaded easiest else ensure exec exploited files followed found gem gem`s gems had has have hosting immediate immediately improved input insufficient integrity` investigation issue legitimate library live local maciej maintainers malicious match matches matching mensfeld name neither nor not number org part patched pattern permanently platform primary prove provided purge quickly recorded replace replacing required result ruby rubygems running: served service storage tool triggering unexpected upload uploaded use user users validate validation version vulnerability way would wrote your |
| Tags | Tool Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.