{"id":140177,"date":"2022-05-10T06:18:36","date_gmt":"2022-05-10T06:18:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/error-critico-de-adquisicion-de-gemas-informado-en-rubygems-package-manager\/"},"modified":"2022-05-10T06:18:41","modified_gmt":"2022-05-10T06:18:41","slug":"error-critico-de-adquisicion-de-gemas-informado-en-rubygems-package-manager","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/error-critico-de-adquisicion-de-gemas-informado-en-rubygems-package-manager\/","title":{"rendered":"Error cr\u00edtico de adquisici\u00f3n de gemas informado en RubyGems Package Manager"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los encargados del mantenimiento del administrador de paquetes RubyGems han abordado una falla de seguridad cr\u00edtica que podr\u00eda haberse abusado para eliminar gemas y reemplazarlas con versiones no autorizadas en circunstancias espec\u00edficas.<\/p>\n

“Debido a un error en la acci\u00f3n de tirar, era posible que cualquier usuario de RubyGems.org eliminara y reemplazara ciertas gemas incluso si ese usuario no estaba autorizado para hacerlo”, RubyGems dicho<\/a> en un aviso de seguridad publicado el 6 de mayo de 2022.<\/p>\n

RubyGems, como npm para JavaScript y pip para Python, es un gerente de empaquetaci\u00f3n<\/a> y un servicio de alojamiento de gemas para el lenguaje de programaci\u00f3n Ruby, que ofrece un repositorio de m\u00e1s de 171 500 bibliotecas.<\/p>\n

En pocas palabras, la falla en cuesti\u00f3n, rastreada como CVE-2022-29176, permit\u00eda a cualquiera extraer ciertas gemas y cargar diferentes archivos con el mismo nombre, el mismo n\u00famero de versi\u00f3n y diferentes plataformas.<\/p>\n

Sin embargo, para que esto suceda, una gema deb\u00eda tener uno o m\u00e1s guiones en su nombre, donde la palabra antes del gui\u00f3n era el nombre de una gema controlada por el atacante, y que se cre\u00f3 dentro de los 30 d\u00edas o no tuvo actualizaciones durante m\u00e1s de 100. dias.<\/p>\n

“Por ejemplo, el propietario de la gema ‘algo’ podr\u00eda haberse apoderado de la gema ‘algo'”, explicaron los propietarios del proyecto.<\/p>\n

Los mantenedores del proyecto dijeron que no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, y agregaron que no recibieron ning\u00fan correo electr\u00f3nico de soporte de los propietarios de gemas alert\u00e1ndolos sobre la eliminaci\u00f3n de las bibliotecas sin autorizaci\u00f3n.<\/p>\n

“Una auditor\u00eda de los cambios de gemas durante los \u00faltimos 18 meses no encontr\u00f3 ning\u00fan ejemplo de que esta vulnerabilidad se use de manera maliciosa”, dijeron los mantenedores. “Se est\u00e1 llevando a cabo una auditor\u00eda m\u00e1s profunda para cualquier posible uso de este exploit”.<\/p>\n

La divulgaci\u00f3n se produce cuando NPM abord\u00f3 varias fallas en su plataforma que podr\u00edan haberse convertido en armas para facilitar los ataques de apropiaci\u00f3n de cuentas y publicar paquetes maliciosos.<\/p>\n

La principal de ellas es una amenaza en la cadena de suministro llamada plantaci\u00f3n de paquetes que permite a los actores maliciosos hacer pasar bibliotecas no autorizadas como leg\u00edtimas simplemente asign\u00e1ndolas a mantenedores populares y confiables sin su conocimiento.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los encargados del mantenimiento del administrador de paquetes RubyGems han abordado una falla de seguridad cr\u00edtica que podr\u00eda<\/p>\n","protected":false},"author":1,"featured_media":140178,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5206,4661,4664,172,5369,4662,55649,19014,4668,4667,20951,4654,4658,4659,4653,4655,62816,4663,62815,4666,4665,4660],"class_list":["post-140177","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-adquisicion","tag-ataques-ciberneticos","tag-como-hackear","tag-critico","tag-error","tag-filtracion-de-datos","tag-gemas","tag-informado","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-manager","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-package","tag-programa-malicioso-ransomware","tag-rubygems","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/140177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=140177"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/140177\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/140178"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=140177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=140177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=140177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}