安全 Unsafe Object Deserialization Vulnerability in RubyGems

Rei · 2017年10月11日 · 5927 次阅读

http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html

TLDR:

rubygems 使用了 YAML.load 导致 rubygems.org 产生注入漏洞。
rubygems 2.6.14 修复此漏洞。
rubygems.org 维护人员审计过 2015-02-08 以后的 gem 包，较高信心没有被篡改。
2015-02-08 以前，2012 年以后的 gem 包没有 checksums 无法审计，不能确保没有篡改。
不要使用 YAML.load。

暂无回复。

需要登录后方可回复, 如果你还没有账号请注册新账号

共收到 0 条回复

打赏作者

收到新回复，点击立即加载