Beschreibung

RubyGems ist eine Paketregistrierung, die dazu dient, Software für das Ruby-Sprachökosystem bereitzustellen. Ein Ordnungsfehler im Code, der Gem-Uploads akzeptiert, ermöglichte es, dass einige Gems (mit Plattformen, die auf Zahlen enden, wie `arm64-darwin-21`) vorübergehend im CDN-Cache durch ein bösartiges Paket ersetzt wurden. Der Fehler wurde gepatcht und es wird davon ausgegangen, dass er nie ausgenutzt wurde, basierend auf einer ausführlichen Überprüfung von Protokollen und bestehenden Gems durch rubygems. Der einfachste Weg, um sicherzustellen, dass eine Anwendung nicht durch diese Schwachstelle ausgenutzt wurde, ist die Überprüfung aller heruntergeladenen .gems-Prüfsummen mit der Prüfsumme in der RubyGems.org-Datenbank. RubyGems.org wurde gepatcht und ist nicht mehr anfällig für dieses Problem.

Referenzen

https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-29218

https://nvd.nist.gov/vuln/detail/cve-2022-29218

https://www.cvedetails.com/cve/cve-2022-29218/

https://www.tenable.com/cve/cve-2022-29218

https://vulmon.com/searchpage?q=cve-2022-29218

https://vulners.com/ubuntucve/UB:cve-2022-29218

Zurück zur Übersicht