RubyGemsパッケージマネージャーで報告された重大なGemsテイクオーバーのバグ – thehackernews.com

RubyGemsパッケージマネージャーのメンテナーは、特定の状況下でgemを削除し、それらを不正なバージョンに置き換えるために悪用された可能性のある重大なセキュリティ上の欠陥に対処しました。
「ヤンクアクションのバグにより、RubyGems.orgユーザーが特定のgemを削除および置換することは、そのユーザーに許可されていなくても可能でした」とRubyGemsは2022年5月6日に公開されたセキュリティアドバイザリで述べています。
プロジェクトのメンテナは、脆弱性が実際に悪用されたという証拠はないと述べ、許可なくライブラリを削除するように警告する宝石所有者からのサポートメールを受け取っていないと付け加えました。
この開示は、NPMが、アカウント乗っ取り攻撃を容易にし、悪意のあるパッケージを公開するために武器化された可能性のあるプラットフォームのいくつかの欠陥に対処したときに行われます。