Access denied, Please sign in and make sure you have proper permission.

安全 Unsafe Object Deserialization Vulnerability in RubyGems

Rei · October 11, 2017 · 5948 hits

http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html

TLDR:

rubygems 使用了 YAML.load 导致 rubygems.org 产生注入漏洞。
rubygems 2.6.14 修复此漏洞。
rubygems.org 维护人员审计过 2015-02-08 以后的 gem 包，较高信心没有被篡改。
2015-02-08 以前，2012 年以后的 gem 包没有 checksums 无法审计，不能确保没有篡改。
不要使用 YAML.load。

No Reply at the moment.

You need to Sign in before reply, if you don't have an account, please Sign up first.

Total 0 replies

Reward

New Reply comming, click to load.