Ruby China

安全 Unsafe Object Deserialization Vulnerability in RubyGems

Rei · October 11, 2017 · 5927 hits

http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html

TLDR:

  • rubygems 使用了 YAML.load 导致 rubygems.org 产生注入漏洞。
  • rubygems 2.6.14 修复此漏洞。
  • rubygems.org 维护人员审计过 2015-02-08 以后的 gem 包,较高信心没有被篡改。
  • 2015-02-08 以前,2012 年以后的 gem 包没有 checksums 无法审计,不能确保没有篡改。
  • 不要使用 YAML.load
No Reply at the moment.
You need to Sign in before reply, if you don't have an account, please Sign up first.