Vulnerabilidad en Rubygems (CVE-2022-29176)

Rubygems es un registro de paquetes usado para suministrar software para el ecosistema del lenguaje Ruby. Debido a un bug en la acción de yank, era posible que cualquier usuario de RubyGems.org eliminara y sustituyera determinadas gemas incluso si ese usuario no estaba autorizado a hacerlo. Para ser vulnerable, una gema necesitaba: la creación de uno o más guiones en su nombre en un plazo de 30 días O no haber sido actualizada durante más de 100 días En la actualidad, creemos que esta vulnerabilidad no ha sido explotada. RubyGems.org envía un correo electrónico a todos los propietarios de gemas cuando es publicada o es retirada la versión de una gema. No hemos recibido ningún correo electrónico de soporte de los propietarios de gemas indicando que su gema ha sido retirada sin autorización. Una auditoría de los cambios de gemas de los últimos 18 meses no encontró ningún ejemplo de esta vulnerabilidad usada de forma maliciosa. Está siendo llevando a cabo una auditoría más profunda para detectar cualquier posible uso de esta explotación, y actualizaremos este aviso una vez que haya sido completado. El uso de Bundler en modo --frozen o --deployment en CI y durante los despliegues, como el equipo de Bundler siempre ha recomendado, garantizará que su aplicación no cambie silenciosamente a versiones creadas con esta explotación. Para auditar el historial de tu aplicación en busca de posibles explotaciones pasadas, revisa tu Gemfile.lock y busca gemas cuya plataforma haya cambiado cuando el número de versión no haya cambiado. Por ejemplo, la actualización de gemname-3.1.2 a gemname-3.1.2-java podría indicar un posible abuso de esta vulnerabilidad. RubyGems.org ha sido parcheado y ya no es vulnerable a este problema desde el 5 de mayo de 2022