安全 Unsafe Object Deserialization Vulnerability in RubyGems

Rei · 2017年10月11日 · 5886 次阅读

http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html

TLDR:

  • rubygems 使用了 YAML.load 导致 rubygems.org 产生注入漏洞。
  • rubygems 2.6.14 修复此漏洞。
  • rubygems.org 维护人员审计过 2015-02-08 以后的 gem 包,较高信心没有被篡改。
  • 2015-02-08 以前,2012 年以后的 gem 包没有 checksums 无法审计,不能确保没有篡改。
  • 不要使用 YAML.load
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请 注册新账号